The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Взлом сервера проекта ProFTPD привел ко внедрению бэкдора

02.12.2010 19:02

Разработчики популярного FTP-сервера ProFTPD сообщили об обнаружении факта взлома основного сервера проекта и подмены архива с исходными текстами на вариант, содержащий вредоносный код. В результате атаки, c 28 ноября по 2 декабря с первичного FTP-сервера проекта и всех зеркал распространялся модифицированный злоумышленниками вариант архива ProFTPD 1.3.3c.

Всем пользователям, загрузившим код в указанный период времени, следует немедленно сверить контрольные суммы для загруженного архива и в случае их несовпадения установить корректную версию ProFTPD. Интегрированный в код сервера бэкдор позволял получить shell-доступ к системе с правами суперпользователя, после ввода FTP-команды "HELP ACIDBITCHEZ". При запуске, модифицированный сервер отправлял уведомление на определенный IP в Саудовской Аравии, давая знать о готовности принять команды злоумышленников.

Взлом сервера проекта был осуществлен в результате несвоевременного обновления ProFTPD, обслуживающего FTP-сервер проекта - в версии 1.3.3c была исправлена опасная уязвимость, важность которой была недооценена разработчиками. Бэкдор был внедрен 28 ноября в 20:00 (UTC), а обнаружен только вечером первого декабря.

Проверить уязвимость своего сервера, можно при помощи следующей последовательности команд:



   $ telnet 1.2.3.4 21
   Trying 1.2.3.4...
   Connected to 1.2.3.4
   Escape character is '^]'.
   220 ProFTPD 1.3.3c Server (ProFTPD Default Installation) [1.2.3.4]
    
   HELP ACIDBITCHEZ
 
   id ;
 
   uid=0(root) gid=0(root) groups=0(root),65534(nogroup)

Дополнение: появилась информация, что взлом мог быть совершен через новую (zero-day) уязвимость в модуле ProFTPD, используемом для аутентификации на SQL-сервере. Исправление для данной уязвимости пока не выпущено.

  1. Главная ссылка к новости (http://sourceforge.net/mailarc...)
  2. OpenNews: Вышел ProFTPD 1.3.3c с исправлением уязвимости
  3. OpenNews: Доступен релиз ProFTPD 1.3.2 с устранением уязвимости
  4. OpenNews: Обновление ProFTPD 1.3.1
  5. OpenNews: Удаленное выполнение кода в ProFTPD mod_tls
  6. Безнадежные с точки зрения безопасности программы
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/28866-proftpd
Ключевые слова: proftpd, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (50) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, bootforce (?), 19:32, 02/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • –14 +/
    Ну вот и пришел опенсурс к успеху, известности и популярности. Дыры посыпались одна за одной.
     
     
  • 2.5, Maris (?), 19:45, 02/12/2010 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Может я конечно ошибаюс, но ProFTPD сравнително давно и известен и популярен.
     
     
  • 3.20, deadless (?), 21:58, 02/12/2010 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Вот именно сравнительно давно известен как дырявое корыто. везде стоит только vsftpd и ничего другого.
     
     
  • 4.47, Hety (??), 14:19, 03/12/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    +1. С тех пор, как появился vsftpd ничего другого использовать нет возможности. Совесть не позволяет.
     
     
  • 5.57, Анон (?), 08:09, 04/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Совесть побоку, главное чтобы инфа конторы не уплыла в неизвестном направлении.
     
  • 2.11, Аноним (-), 20:49, 02/12/2010 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Вообще-то он всю дорогу дырявый
     
  • 2.13, Аноним (-), 21:22, 02/12/2010 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Пришел? Проприетарные FTP сервера вообще нигде не используются - FTP всю жизнь работал на опенсорсе (даже поболе HTTP). А ProFTPd всегда был дырявым, так что ничего неожиданного.
     
  • 2.22, User294 (ok), 22:24, 02/12/2010 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Ну вот и пришел опенсурс к успеху, известности и популярности. Дыры посыпались
    > одна за одной.

    Хоть вам бы и хотелось обосрать опенсорц, но правда жизни немного не такая. И состоит она в том что в ProFTPD дыры находили и раньше. А если вы вдруг только сейчас отпустили ручник - опенсорс в этом не виноват, как ни странно. Ну вот например новость 4-летней давности: http://www.opennet.dev/opennews/art.shtml?num=8799 - как это с вашей теорией согласуется?

     
     
  • 3.34, Konstantin (??), 08:11, 03/12/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Правда жизни в том, что 5 дней распространялись сорцы с трояном. Такое тоже раньше было? :)
     
     
  • 4.39, anonymous (??), 09:54, 03/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Да было такое. Попытки в мохнатых 1990-х подменить архивы tcpwrapper. Вовремя заметили благодаря подписанным MD5-суммам.
     
  • 4.45, Аноним (-), 13:32, 03/12/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот Вы меня проприетарщики поражаете. Неужели Вы верите что до Microsoft жизни не было?

    Была. И сети были и интернет и червь Моррисона, и операционные системы.

     
  • 4.50, User294 (ok), 14:44, 03/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > тоже раньше было? :)

    Да, было. А что в этом такого принципиально невозможного?

     
  • 4.55, Аноним (-), 21:22, 03/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Проприетарщина с троянами и вирусами распространялась годами...
     
     
  • 5.59, Michael Shigorin (ok), 17:35, 04/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    В том числе и на официальных болванках не раз и не два.  ЕМНИП Microsoft Ireland в т.ч.
     
  • 3.44, bootforce (?), 13:14, 03/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    зачем мне его обсирать, если это мой хлеб? я просто слежу за тенденциями, которые в том числе отражаются и в новостях на этом сайте.
     
     
  • 4.52, User294 (ok), 19:18, 03/12/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > зачем мне его обсирать, если это мой хлеб?

    Не знаю. А в чем фокус - заявить "посыпались дыры" хотя у proftpd проблемы с секурити были и раньше, при том довольно суровые? oO

     
     
  • 5.60, bootforce (?), 17:57, 04/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    ну я вообще про опенсурс написал же, а не про профтпд конкретно
     
  • 2.58, К.О. (?), 16:08, 04/12/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    С IIS все равно не сравнится.
     

  • 1.2, botman (ok), 19:33, 02/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Юные читатели журналов "Хакер" атакуют?
     
     
  • 2.6, Аноним (-), 19:57, 02/12/2010 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ага, разбежался... они только с**т в коментах. А эти ACIDBITCHES перед этим как раз дыру в ядре нашли-изучили и эксплуатировали 1,5 года.
     
     
  • 3.51, ххх (?), 17:41, 03/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Ага, разбежался... они только с**т в коментах. А эти ACIDBITCHES перед этим
    > как раз дыру в ядре нашли-изучили и эксплуатировали 1,5 года.

    в ядре чего??

     
  • 3.53, User294 (ok), 21:07, 03/12/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ага, разбежался... они только с**т в коментах. А эти ACIDBITCHES перед этим
    > как раз дыру в ядре нашли-изучили и эксплуатировали 1,5 года.

    Еще, судя по всему, те же кислотные сучки вбросили и бэкдор в Unreal IRCD (http://www.opennet.dev/opennews/art.shtml?num=26945). Префикс команды бэкдора AB как бы намекает чьих это рук дело. Там, кстати, как я понял тоже раздолбайское администрирование в основном виновато - не заметили взлом, подписей не было. Ради справедливости замечу что серваков с бэкдором в диком виде почти не попалось, хотя бэкдор анреала довольно долго валялся. Видимо эффективность таких атак не слишком высокая. Если из пакетов софт ставить - тут майнтайнеры скорее всего спасут ситуацию.

    ЗЫ а от кислотных сук и польза есть - теперь народ будет читать сорцы, а не только качать и тупо компилить, гы-гы :). На то и щуки-сцуки, чтобы карась не дремал.

     

  • 1.4, Аноним (-), 19:41, 02/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +19 +/
    "Взлом сервера проекта был осуществлен в результате несвоевременного обновления ProFTPD, обслуживающего FTP-сервер проекта ProFTPD."

    Сапожники блин, насмешили :-D

     
  • 1.8, Анон (?), 20:22, 02/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Что зачастили со взломом opensource'а. Хотя не opensource итого чаще ломают.
    От последнего обзаца улыбнуло: ProFTPD несвоевременно обновили ProFTPD.:))
     
     
  • 2.56, PereresusNeVlezaetBuggy (ok), 02:19, 04/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Что зачастили со взломом opensource'а. Хотя не opensource итого чаще ломают.

    Так это... ресурс сей вроде бы в первую очередь про опенсорс пишет, не? А о дырках в пропиетарных программах тоже пишут, просто вы, видимо, в таких местах бываете реже. :)

     

  • 1.9, Аноним (-), 20:32, 02/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ProFTPD всегда был дырой
     
  • 1.16, вывуыф (?), 21:26, 02/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    я собирал из портов фряхи профтп как раз где-то 28-29 ноября 1.3.3с тарбол в distfiles, чексуммы в норме, уязвимости нет, видимо не с официального сервера качалось, повезло)
     
     
  • 2.28, Аноним (-), 00:24, 03/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > я собирал из портов фряхи профтп как раз где-то 28-29 ноября 1.3.3с
    > тарбол в distfiles, чексуммы в норме, уязвимости нет, видимо не с
    > официального сервера качалось, повезло)

    1.3.3с в портах от 4-го числа (ноября): http://www.freshports.org/ftp/proftpd/, т.е. брали его с оф. сайта 4-го или раньше. все последующие правки внутре-фряшные, обычно для этого опять исходники не сгружают с оф.сайта, а работают над уже имеющимися.

     

  • 1.19, Аноним (-), 21:34, 02/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Это какими надо быть разгильдями чтобы про дыру трезвонить везде всему интернету (что процессы proftpd например размножаются), а самим не обновить ПО на своем собственном сервере.

    Или видимо у них разрабы отдельно, а одмин отдельно и он был в запое? :))

     
     
  • 2.21, deadless (?), 22:03, 02/12/2010 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Это какими надо быть разгильдями чтобы про дыру трезвонить везде всему интернету
    > (что процессы proftpd например размножаются), а самим не обновить ПО на
    > своем собственном сервере.
    > Или видимо у них разрабы отдельно, а одмин отдельно и он был
    > в запое? :))

    потому что пишут клоуны, им бы Тео прочитал бы лекцию часов эдак на 5...

     
     
  • 3.38, Иван (??), 09:47, 03/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >> Это какими надо быть разгильдями чтобы про дыру трезвонить везде всему интернету
    >> (что процессы proftpd например размножаются), а самим не обновить ПО на
    >> своем собственном сервере.
    >> Или видимо у них разрабы отдельно, а одмин отдельно и он был
    >> в запое? :))
    > потому что пишут клоуны, им бы Тео прочитал бы лекцию часов эдак
    > на 5...

    А вы сами сразу обновляете ПО? Сразу после выхода новой версии/патча? Тогда наверно у вас максимум домашний сервер обслуживается...

     
     
  • 4.42, splat_pack (ok), 11:24, 03/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    я укаждое утро открываю почту и вижу там отчет о том какой варез требуецо обновнить, иду на сервера и таки да, обновляю, если вы этого не делаете то ССЗБ. Или надеетесь на то что "я под линуксом, мне не страшно" что вобщем-то многих линуксоидов и отличает.
     
     
  • 5.54, User294 (ok), 21:11, 03/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > я укаждое утро открываю почту и вижу там отчет о том какой
    > варез требуецо обновнить, иду на сервера и таки да, обновляю,

    А если лень читать - то уж хотя-бы пакетный манагер то пнуть можно, это ж просто и быстро. И майнтайнеры обычно оперативно реагируют на проблемы. Хотя лучше ессно использовать софт, авторы которого уделают безопасности должное внимание.

     

  • 1.24, Аноним (-), 23:22, 02/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Они похоже исходники пересобрали, а сервер забыли перезапустить или их еще раз сломали.

    $ telnet ftp.proftpd.org 21
    Trying 188.40.77.49...
    Connected to rsync.proftpd.de.
    Escape character is '^]'.
    220 Welcome to ftp.proftpd.org
    HELP ACIDBITCHEZ
    id ;
    uid=0(root) gid=0(root) groups=0(root),65534(nogroup)

     
     
  • 2.33, Аноним (33), 07:39, 03/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Только что прбовал :)  убрали
     

  • 1.25, anonymous_peer (ok), 23:42, 02/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    1. Взломали сервер проекта, чтобы подменить архив с исходными текстами программы…
    2. …который добровольно скачали и установили себе (с официального сервера!) множество пользователей…
    3. Модифицированный ProFTPD предоставляет root-shell по команде "help кислотные с..и"…
    4. В довершение всего сервер проекта ProFTPD был взломан благодаря уязвимости в самом же ProFTPD…

    Я… я просто не знаю что сказать… :)
    Просто EPIC FAIL !

    Хотя, и смешно, и грустно. Вкупе с последними похожими новостями. Потому что, похоже, на «1 % пользователей» наконец-таки обратили внимание, и это только начало.

     
     
  • 2.27, zazik (ok), 00:09, 03/12/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > 2. …который добровольно скачали и установили себе (с официального сервера!) множество
    > пользователей…

    Насчёт множества я бы не говорил, у множества, я надеюсь, vsftpd или нечто подобное стоит.

     
     
  • 3.31, anonymous_peer (ok), 02:55, 03/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, у одного множества — ProFTPD, у другого — vsftpd. Про большинство я не говорил ).
     
  • 2.32, szh (ok), 03:12, 03/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Потому что, похоже, на «1 % пользователей» наконец-таки обратили внимание, и это только начало.

    Трололо, на серверах Линукса десятки процентов уже на протяжении 8 лет, обрати наконец на это свое внимание.
    ProFTPd это прежде всего серверный софт, его ломали не для того чтобы на домашние компы залезть.

    Epic fail в твоей аргументации.

    Где сломанный Апач, где сломанный VSFTPD, где сломанный kernel.org ? На 50% веб серверов не обратили внимание ?

     
     
  • 3.41, Аноним (-), 10:40, 03/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    А зачем "десяткам процентов линуксов на серверах" файрфокс, хорг, опеноффис, всевозможные игрушки (с неконсольным интерфейсом!!!), видеопроигрыватели и прочая и прочая?
     
     
  • 4.43, szh (ok), 12:18, 03/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    десяткам процентов на серверах на прямую не нужны. Мы тут ProFTPD обсуждаем, а не опенофис с игрушками.
     
  • 2.48, Клыкастый (?), 14:22, 03/12/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Хотя, и смешно, и грустно. Вкупе с последними похожими новостями. Потому что,
    > похоже, на «1 % пользователей» наконец-таки обратили внимание, и это только
    > начало.

    вы прямо слово как инопланетянин. взломы были, есть и будут. отличие в том, что юниксы ломают достаточно продвинутые люди. на эпидемию это решительно не тянет и не потянет никогда. для сравнения: сколько proftpd загрузили за 5 дней? У меня vsftpd например. Юниксовый мир - это компот и зоопарк. Там в принципе сложно выйти на уровень эпидемии.

     

  • 1.26, zazik (ok), 00:08, 03/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Не судьба им была vsftpd поставить. Теперь расплачиваются.
     
     
  • 2.35, аноним_ (?), 09:09, 03/12/2010 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Круто позабавил, настроение с утра поднял
     
  • 2.30, Кир (?), 02:09, 03/12/2010 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Дооо, Апач -- такой совершенно никому не известный сервер, и сплошь дырявый, ну просто сплошь... Или vsftpd -- дырявый, прям жуть берет, только придурки из IBM и могут его рекомендовать...
     
  • 2.46, тоже Аноним (ok), 14:06, 03/12/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я вам больше скажу: весь софт - одна большая дыра. Совершенно безглючных программ не бывает (во всяком случае, среди тех, что развиваются).
    Поэтому вы выбирайте: или пользоваться продуктами, разработчики которых не боятся обсуждения дыр, отслеживают их и оперативно закрывают, или верить, что проприетарные системы "просто сразу намного лучше" и отсутствие обсуждения дыр в них говорит в их пользу.
    По мнению сторонников опенсурса, фраза "относительная, кажущаяся защищенность" - не о первом варианте, а о втором.
     

  • 1.36, bircoph (?), 09:20, 03/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Взлом сервера проекта был осуществлен в результате несвоевременного обновления ProFTPD

    Замечу, не какого-то там проекта, а ProFTPD, из-за несвоевременного обновления ни чего-то там, а ProFTPD! Да они должны были первыми обновиться. Epic FAIL.

    /me продолжает довольно использовать vsftpd.

     
  • 1.37, Амнезинус (?), 09:46, 03/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >ACIDBITCHEZ

    хм, это те самые ребята, которые под видом тестового эксплоита парили троян? :)

     
     
  • 2.40, Амнезинус (?), 09:58, 03/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    http://www.opennet.dev/opennews/art.shtml?num=27979 вот этот
     

  • 1.62, Любящий мыслить (?), 20:16, 07/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А у меня постоянно тырят инфу с vsftpd. Сначала воруют у юзеров пароли, а потом с фтп скачивают. Было даже финальный релиз какого то проекта стырили вместе с дистрибутивом визуальной студии.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру