Moin,
An alle Selbstkompilierer,
es hat sich wohl ein Trojaner in die Sourcen von openssh-3.4p1 eingeschlichen.
In dem Link steht die Meldung von der Mailingliste, und was man dagegen unternehmen kann.
http://docs.freebsd.org/cgi/getmsg.cgi?fetch=394609+0+current/freebsd-security


Greetings Zaphod-B

Wie heute morgen ueber die Mailinglisten incidents@securityfocus.com
und freebsd-security bekannt wurde, enthaelt das OpenSSH-Archiv auf
dem Server des OpenBSD-Projekts ein trojanisches Pferd. Betroffen ist
die Datei mit der URL
ftp://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-3.4p1.tar.
gz. Beim
Uebersetzen des Programmpakets wird ein Programm ausgefuehrt, das
eine
Netzwerkverbindung zu einem anderen Rechner aufbaut und eine lokale
Shell ausfuehrt. Diese Shell ist mit der Netzwerkverbung verbunden,
kann also von dem fremden Rechner ferngesteuert werden.

Der Uebelaeter verbirgt sich in der Datei
openbsd-compat/bf-test.c. Beim Ausfuehren dieses Programms wird ein
Shell-Skript erzeugt, das seinerseits den Quellcode eines C-Programms
enthaelt. Dieses Shell-Skript compiliert den enthaltenen Code und
fuehrt ihn aus. Der Trojaner wird also nur beim Selbstcompilieren des
Programmpakets aktiviert; Benutzer von vorkompilierten Paketen sind
nicht betroffen.

Der Trojaner benennt sich nach der Shell des Benutzers, der den
Make-Prozess ausfuehrt. Er versucht, eine TCP-Verbindung zu dem
Rechner mit der IP-Adresse 203.62.158.32 auf Port 6667 zu
oeffnen. Dieser Rechner hat den Namen snsonline.net und gehoert einem
Internet-Provider in Melbourne, Australien. Zum Zeitpunkt dieser
Meldung lief auf diesem Rechner kein Programm, das die Verbindung
annimmt.

Kann die Verbindung aufgebaut werden, hat das Programm drei
Betriebsmodi: Empfaengt es ein "A", beendet es sich; empfaengt es ein
"M", wartet es eine Stunde und versucht dann einen erneuten
Verbindungsaufbau. Empfaengt es ein "D", geschieht der interessante
Part: Der Trojaner verbindet stdin, stdout und stderr mit dem
TCP-Socket und startet dann /bin/sh. So erhaelt der Server auf den
entfernten Rechner eine lokale Shell, die er nach belieben
fernsteuern
kann. Diese Shell gehoert dem Benutzer, der den Make-Prozess
gestartet
hat; hat man das Paket als root compiliert, erhaelt der Angreifer
also
eine root-Shell.



gruss,
justinus

Nachtrag: Der Server 203.62.158.32 wurde neu aufgesetzt, er wurde laut einer Mailingliste gehackt. Also ist der Trojaner nun entschaerft

Mfg,
Air

Hi,

die armen OpenBSDler, zuerst hat SSH einen root-exploit und nun das. Ich glaub der Satz "One remote hole in the default install, in nearly 6 years!" wird bald von der Homepage verschwinden :)

Ciao, Bernie

Original geschrieben von bernie_x
die armen OpenBSDler, zuerst hat SSH einen root-exploit und nun das.

nein.

OpenBSD ist (meines wissens) nicht betroffen. :)

Den trojaner gibt es nur in der portable-version von OpenSSH. :p


gruss,
justinus

Hi,

OK, das freebsd im URL hab ich überlesen. Sorry

Aber dennoch wird OpenSSH vom Theo De Rath (oder wie der heisst) geschrieben und der ist ein OpenBSDler. OpenSSH hat ja in OpenBSD seine Gründung erlebt.

Na wie auch immer.

Jedenfalls ist es ärgerlich dass jetzt auch schon unter Linux Trojaner anfangen Fuss zu fassen.

Ciao, Bernie

Tja, aber ich finde, es ist trotzdem keine schlechte Bilanz oder? Es wäre bloss interessant zu wissen, was am dem Rechner lief, der "gehackt" wurde. OpenBSD ;) (haha, so macht man sich Feine ;) sorry)

Joey

Nein, auf dem Rechner lief SunOS (Solaris).


Nacht,
air.

Wenn sich wirklich welche auf dem Server eingehackt hatten, müssen die ja richtig gut sein, da Solaris doch ziemlich sicher ist, oder? Es könnte natürlich auch andere Gründe haben:

- dummer Admin
- zwielichtige Mitarbeiter
- keine Updates/Patches/Fixes

Was glaubt ihr, war es von den vieren?

cya Immortal