• Crackers Inserem Back Door no Servidor ProFTPD

    Atacantes invadiram o servidor que hospeda o código-fonte do projeto ProFTPD e esconderam um back door no referido código. Esse back door (que também é conhecido como porta dos fundos), permite que os atacantes tenham total acesso aos sistemas em que a versão modificada do servidor tenha sido instalada. Os servidores nos quais a versão comprometida tenha sido instalada, enviam automaticamente uma mensagem a um endereço IP na Arábia Saudita no ato de sua ativação. Ao digitar o comando HELP ACIDBITCHEZ, resulta em um servidor modificado, exibindo um shell de root.



    Ironicamente, para colocar o seu back door, os crackers utilizaram uma vulnerabilidade zero-day no próprio ProFTPD, que os desenvolvedores já estavam utilizando para tornar o código fonte disponível para os usuários. A modificação foi realizada no 28 de novembro, descoberta e revertida em 01 de dezembro. Devido o servidor principal do projeto que também alimenta vários espelhos via rsync ter sido afetado, o código modificado provavelmente terá sido entregue por espelhos oficiais até ontem (02).

    Os usuários podem utilizar o hash MD5 ou assinaturas PGP para verificar se eles têm a versão comprometida em seu sistema. Os desenvolvedores não revelaram quaisquer pormenores sobre a vulnerabilidade utilizada para penetrar no servidor do projeto; os atacantes podem ter explorado a vulnerabilidade ainda não corrigida no módulo SQL, destaque na revista hacker Phrack em meados de Novembro.


    Saiba Mais:

    [1] ProFTPD: http://www.proftpd.org/md5_pgp.html
    [2] ProFTPD Server Software: http://sourceforge.net/mailarchive/m....castaglia.org
    [3] Heise On-line: http://www.h-online.com/security/new...r-1146592.html

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L