Разработчики популярного FTP-сервера ProFTPD (http://www.proftpd.org/) сообщили (http://sourceforge.net/mailarchive/message.php?msg_name=alpi...) об обнаружении факта взлома сервера проекта и подмены архива с исходными текстами на вариант, содержащий вредоносный код. В результате атаки, c 28 ноября по 2 декабря с первичного FTP-сервера проекта и всех зеркал распространялся модифицированный вариант архива ProFTPD 1.3.3c.
Всем пользователям, загрузившим код в указанный период времени, следует немедленно сверить контрольные суммы (http://www.proftpd.org/md5_pgp.html) для загруженного архива и в случае их несовпадения установить корректную версию ProFTPD. Так как в код был интегрирован бэкдор, FTP-серверы, работающие на базе модифицированной версии ProFTPD, можно отличить путем проверки (http://pastebin.ca/2008461), в результате которой пользователю открывается доступ к выполнению команд с привилегиями root:
<font color="#461b7...URL: http://sourceforge.net/mailarchive/message.php?msg_name=alpi...
Новость: http://www.opennet.me/opennews/art.shtml?num=28866
Ну вот и пришел опенсурс к успеху, известности и популярности. Дыры посыпались одна за одной.
Может я конечно ошибаюс, но ProFTPD сравнително давно и известен и популярен.
Вот именно сравнительно давно известен как дырявое корыто. везде стоит только vsftpd и ничего другого.
+1. С тех пор, как появился vsftpd ничего другого использовать нет возможности. Совесть не позволяет.
Совесть побоку, главное чтобы инфа конторы не уплыла в неизвестном направлении.
Вообще-то он всю дорогу дырявый
Пришел? Проприетарные FTP сервера вообще нигде не используются - FTP всю жизнь работал на опенсорсе (даже поболе HTTP). А ProFTPd всегда был дырявым, так что ничего неожиданного.
> Ну вот и пришел опенсурс к успеху, известности и популярности. Дыры посыпались
> одна за одной.Хоть вам бы и хотелось обосрать опенсорц, но правда жизни немного не такая. И состоит она в том что в ProFTPD дыры находили и раньше. А если вы вдруг только сейчас отпустили ручник - опенсорс в этом не виноват, как ни странно. Ну вот например новость 4-летней давности: http://www.opennet.me/opennews/art.shtml?num=8799 - как это с вашей теорией согласуется?
Правда жизни в том, что 5 дней распространялись сорцы с трояном. Такое тоже раньше было? :)
Да было такое. Попытки в мохнатых 1990-х подменить архивы tcpwrapper. Вовремя заметили благодаря подписанным MD5-суммам.
Вот Вы меня проприетарщики поражаете. Неужели Вы верите что до Microsoft жизни не было?Была. И сети были и интернет и червь Моррисона, и операционные системы.
> тоже раньше было? :)Да, было. А что в этом такого принципиально невозможного?
Проприетарщина с троянами и вирусами распространялась годами...
В том числе и на официальных болванках не раз и не два. ЕМНИП Microsoft Ireland в т.ч.
зачем мне его обсирать, если это мой хлеб? я просто слежу за тенденциями, которые в том числе отражаются и в новостях на этом сайте.
> зачем мне его обсирать, если это мой хлеб?Не знаю. А в чем фокус - заявить "посыпались дыры" хотя у proftpd проблемы с секурити были и раньше, при том довольно суровые? oO
ну я вообще про опенсурс написал же, а не про профтпд конкретно
С IIS все равно не сравнится.
Юные читатели журналов "Хакер" атакуют?
Ага, разбежался... они только с**т в коментах. А эти ACIDBITCHES перед этим как раз дыру в ядре нашли-изучили и эксплуатировали 1,5 года.
> Ага, разбежался... они только с**т в коментах. А эти ACIDBITCHES перед этим
> как раз дыру в ядре нашли-изучили и эксплуатировали 1,5 года.в ядре чего??
> Ага, разбежался... они только с**т в коментах. А эти ACIDBITCHES перед этим
> как раз дыру в ядре нашли-изучили и эксплуатировали 1,5 года.Еще, судя по всему, те же кислотные сучки вбросили и бэкдор в Unreal IRCD (http://www.opennet.me/opennews/art.shtml?num=26945). Префикс команды бэкдора AB как бы намекает чьих это рук дело. Там, кстати, как я понял тоже раздолбайское администрирование в основном виновато - не заметили взлом, подписей не было. Ради справедливости замечу что серваков с бэкдором в диком виде почти не попалось, хотя бэкдор анреала довольно долго валялся. Видимо эффективность таких атак не слишком высокая. Если из пакетов софт ставить - тут майнтайнеры скорее всего спасут ситуацию.
ЗЫ а от кислотных сук и польза есть - теперь народ будет читать сорцы, а не только качать и тупо компилить, гы-гы :). На то и щуки-сцуки, чтобы карась не дремал.
"Взлом сервера проекта был осуществлен в результате несвоевременного обновления ProFTPD, обслуживающего FTP-сервер проекта ProFTPD."Сапожники блин, насмешили :-D
Что зачастили со взломом opensource'а. Хотя не opensource итого чаще ломают.
От последнего обзаца улыбнуло: ProFTPD несвоевременно обновили ProFTPD.:))
> Что зачастили со взломом opensource'а. Хотя не opensource итого чаще ломают.Так это... ресурс сей вроде бы в первую очередь про опенсорс пишет, не? А о дырках в пропиетарных программах тоже пишут, просто вы, видимо, в таких местах бываете реже. :)
ProFTPD всегда был дырой
я собирал из портов фряхи профтп как раз где-то 28-29 ноября 1.3.3с тарбол в distfiles, чексуммы в норме, уязвимости нет, видимо не с официального сервера качалось, повезло)
> я собирал из портов фряхи профтп как раз где-то 28-29 ноября 1.3.3с
> тарбол в distfiles, чексуммы в норме, уязвимости нет, видимо не с
> официального сервера качалось, повезло)1.3.3с в портах от 4-го числа (ноября): http://www.freshports.org/ftp/proftpd/, т.е. брали его с оф. сайта 4-го или раньше. все последующие правки внутре-фряшные, обычно для этого опять исходники не сгружают с оф.сайта, а работают над уже имеющимися.
Это какими надо быть разгильдями чтобы про дыру трезвонить везде всему интернету (что процессы proftpd например размножаются), а самим не обновить ПО на своем собственном сервере.Или видимо у них разрабы отдельно, а одмин отдельно и он был в запое? :))
> Это какими надо быть разгильдями чтобы про дыру трезвонить везде всему интернету
> (что процессы proftpd например размножаются), а самим не обновить ПО на
> своем собственном сервере.
> Или видимо у них разрабы отдельно, а одмин отдельно и он был
> в запое? :))потому что пишут клоуны, им бы Тео прочитал бы лекцию часов эдак на 5...
>> Это какими надо быть разгильдями чтобы про дыру трезвонить везде всему интернету
>> (что процессы proftpd например размножаются), а самим не обновить ПО на
>> своем собственном сервере.
>> Или видимо у них разрабы отдельно, а одмин отдельно и он был
>> в запое? :))
> потому что пишут клоуны, им бы Тео прочитал бы лекцию часов эдак
> на 5...А вы сами сразу обновляете ПО? Сразу после выхода новой версии/патча? Тогда наверно у вас максимум домашний сервер обслуживается...
я укаждое утро открываю почту и вижу там отчет о том какой варез требуецо обновнить, иду на сервера и таки да, обновляю, если вы этого не делаете то ССЗБ. Или надеетесь на то что "я под линуксом, мне не страшно" что вобщем-то многих линуксоидов и отличает.
> я укаждое утро открываю почту и вижу там отчет о том какой
> варез требуецо обновнить, иду на сервера и таки да, обновляю,А если лень читать - то уж хотя-бы пакетный манагер то пнуть можно, это ж просто и быстро. И майнтайнеры обычно оперативно реагируют на проблемы. Хотя лучше ессно использовать софт, авторы которого уделают безопасности должное внимание.
Они похоже исходники пересобрали, а сервер забыли перезапустить или их еще раз сломали.$ telnet ftp.proftpd.org 21
Trying 188.40.77.49...
Connected to rsync.proftpd.de.
Escape character is '^]'.
220 Welcome to ftp.proftpd.org
HELP ACIDBITCHEZ
id ;
uid=0(root) gid=0(root) groups=0(root),65534(nogroup)
Только что прбовал :) убрали
1. Взломали сервер проекта, чтобы подменить архив с исходными текстами программы…
2. …который добровольно скачали и установили себе (с официального сервера!) множество пользователей…
3. Модифицированный ProFTPD предоставляет root-shell по команде "help кислотные с..и"…
4. В довершение всего сервер проекта ProFTPD был взломан благодаря уязвимости в самом же ProFTPD…Я… я просто не знаю что сказать… :)
Просто EPIC FAIL !Хотя, и смешно, и грустно. Вкупе с последними похожими новостями. Потому что, похоже, на «1 % пользователей» наконец-таки обратили внимание, и это только начало.
> 2. …который добровольно скачали и установили себе (с официального сервера!) множество
> пользователей…Насчёт множества я бы не говорил, у множества, я надеюсь, vsftpd или нечто подобное стоит.
Ну, у одного множества — ProFTPD, у другого — vsftpd. Про большинство я не говорил ).
> Потому что, похоже, на «1 % пользователей» наконец-таки обратили внимание, и это только начало.Трололо, на серверах Линукса десятки процентов уже на протяжении 8 лет, обрати наконец на это свое внимание.
ProFTPd это прежде всего серверный софт, его ломали не для того чтобы на домашние компы залезть.Epic fail в твоей аргументации.
Где сломанный Апач, где сломанный VSFTPD, где сломанный kernel.org ? На 50% веб серверов не обратили внимание ?
А зачем "десяткам процентов линуксов на серверах" файрфокс, хорг, опеноффис, всевозможные игрушки (с неконсольным интерфейсом!!!), видеопроигрыватели и прочая и прочая?
десяткам процентов на серверах на прямую не нужны. Мы тут ProFTPD обсуждаем, а не опенофис с игрушками.
> Хотя, и смешно, и грустно. Вкупе с последними похожими новостями. Потому что,
> похоже, на «1 % пользователей» наконец-таки обратили внимание, и это только
> начало.вы прямо слово как инопланетянин. взломы были, есть и будут. отличие в том, что юниксы ломают достаточно продвинутые люди. на эпидемию это решительно не тянет и не потянет никогда. для сравнения: сколько proftpd загрузили за 5 дней? У меня vsftpd например. Юниксовый мир - это компот и зоопарк. Там в принципе сложно выйти на уровень эпидемии.
Не судьба им была vsftpd поставить. Теперь расплачиваются.
Круто позабавил, настроение с утра поднял
Дооо, Апач -- такой совершенно никому не известный сервер, и сплошь дырявый, ну просто сплошь... Или vsftpd -- дырявый, прям жуть берет, только придурки из IBM и могут его рекомендовать...
Я вам больше скажу: весь софт - одна большая дыра. Совершенно безглючных программ не бывает (во всяком случае, среди тех, что развиваются).
Поэтому вы выбирайте: или пользоваться продуктами, разработчики которых не боятся обсуждения дыр, отслеживают их и оперативно закрывают, или верить, что проприетарные системы "просто сразу намного лучше" и отсутствие обсуждения дыр в них говорит в их пользу.
По мнению сторонников опенсурса, фраза "относительная, кажущаяся защищенность" - не о первом варианте, а о втором.
> Взлом сервера проекта был осуществлен в результате несвоевременного обновления ProFTPDЗамечу, не какого-то там проекта, а ProFTPD, из-за несвоевременного обновления ни чего-то там, а ProFTPD! Да они должны были первыми обновиться. Epic FAIL.
/me продолжает довольно использовать vsftpd.
>ACIDBITCHEZхм, это те самые ребята, которые под видом тестового эксплоита парили троян? :)
http://www.opennet.me/opennews/art.shtml?num=27979 вот этот
А у меня постоянно тырят инфу с vsftpd. Сначала воруют у юзеров пароли, а потом с фтп скачивают. Было даже финальный релиз какого то проекта стырили вместе с дистрибутивом визуальной студии.