Atacantes invadiram o servidor que hospeda o código-fonte do projeto ProFTPD e esconderam um back door no referido código. Esse back door (que também é conhecido como porta dos fundos), permite que os atacantes tenham total acesso aos sistemas em que a versão modificada do servidor tenha sido instalada. Os servidores nos quais a versão comprometida tenha sido instalada, enviam automaticamente uma mensagem a um endereço IP na Arábia Saudita no ato de sua ativação. Ao digitar o comando HELP ACIDBITCHEZ, resulta em um servidor modificado, exibindo um shell de root.
Ironicamente, para colocar o seu back door, os crackers utilizaram uma vulnerabilidade zero-day no próprio ProFTPD, que os desenvolvedores já estavam utilizando para tornar o código fonte disponível para os usuários. A modificação foi realizada no 28 de novembro, descoberta e revertida em 01 de dezembro. Devido o servidor principal do projeto que também alimenta vários espelhos via rsync ter sido afetado, o código modificado provavelmente terá sido entregue por espelhos oficiais até ontem (02).
Os usuários podem utilizar o hash MD5 ou assinaturas PGP para verificar se eles têm a versão comprometida em seu sistema. Os desenvolvedores não revelaram quaisquer pormenores sobre a vulnerabilidade utilizada para penetrar no servidor do projeto; os atacantes podem ter explorado a vulnerabilidade ainda não corrigida no módulo SQL, destaque na revista hacker Phrack em meados de Novembro.
Saiba Mais:
[1] ProFTPD: http://www.proftpd.org/md5_pgp.html
[2] ProFTPD Server Software: http://sourceforge.net/mailarchive/m....castaglia.org
[3] Heise On-line: http://www.h-online.com/security/new...r-1146592.html