The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"openssh, троян."
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"openssh, троян."
Сообщение от nubi Искать по авторуВ закладки on 03-Авг-02, 00:24  (MSK)
История с openssh это ни в какие рамки не лезет...

Я собссно хотел спросить - есть у кого-нибудь затрояненый тарбол?
Оно там после активации Makefile.in не поправлает на предмет убрать bf-test.c? Расскажите, плз, кто столкнулся с этим делом.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "RE: openssh, троян."
Сообщение от nubi Искать по авторуВ закладки on 03-Авг-02, 01:05  (MSK)
Lawr, вы у себя упдайтили все ssh? У меня на одном хосте было следующее: увидел netstat -a | grep LIST  некий localhost:1212 , с перепугу/дури/пьяни, зашел туда и что-то ему послал, после чего localhost:1212 умер. Следов никаких после не нашел и теперь нет мне покоя. Что это было, как говоится..... Ничего не нашел.
  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: openssh, троян."
Сообщение от lavr emailИскать по авторуВ закладки on 04-Авг-02, 13:22  (MSK)
>Lawr, вы у себя упдайтили все ssh? У меня на одном хосте
>было следующее: увидел netstat -a | grep LIST  некий localhost:1212
>, с перепугу/дури/пьяни, зашел туда и что-то ему послал, после чего
>localhost:1212 умер. Следов никаких после не нашел и теперь нет мне
>покоя. Что это было, как говоится..... Ничего не нашел.

в смысле "упдайтили все ssh" - если имеется ввиду переход на 3.4p1 -
то ДА.

ниже цитаты:

Anyways, we did some research here at Oulu regarding the propagation of
the
trojaned OpenSSH-3.4p1.tar.gz, and found out the following:

Trojaned mirrors:

3ac9bc346d736b4a51d676faa2a08a57
MD5
(./ftp.club-internet.fr/pub/OpenBSD/OpenSSH/portable/openssh-3.4p1.tar.gz)=
3ac9bc346d736b4a51d676faa2a08a57
MD5(./ftp.easynet.be/openssh/portable/openssh-3.4p1.tar.gz)=
3ac9bc346d736b4a51d676faa2a08a57
MD5(./ftp.freenet.de/pub/ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-3.
4p1.tar.gz)=
3ac9bc346d736b4a51d676faa2a08a57
MD5(./ftp.fsn.hu/pub/OpenBSD/OpenSSH/portable/openssh-3.4p1.tar.gz)=
3ac9bc346d736b4a51d676faa2a08a57
MD5(./ftp.inet.no/pub/OpenBSD/OpenSSH/portable/openssh-3.4p1.tar.gz)=
3ac9bc346d736b4a51d676faa2a08a57
MD5(./ftp.isu.net.sa/pub/mirrors/ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/op
enssh-3.4p1.tar.gz)=
3ac9bc346d736b4a51d676faa2a08a57 MD5
(./ftp.jaquet.dk/pub/openSSH/portable/openssh-3.4p1.tar.gz)=
3ac9bc346d736b4a51d676faa2a08a57
MD5(./ftp.openbsd.cz/pub/OpenBSD/OpenSSH/portable/openssh-3.4p1.tar.gz)=
3ac9bc346d736b4a51d676faa2a08a57
MD5(./ftp.openbsd.org.br/pub/OpenBSD/OpenSSH/portable/openssh-3.4p1.tar.gz)=
3ac9bc346d736b4a51d676faa2a08a57
MD5(./ftp.openbsd.ru/pub/OpenBSD/OpenSSH/portable/openssh-3.4p1.tar.gz)=
3ac9bc346d736b4a51d676faa2a08a57
MD5(./ftp.sajinet.com.pe/pub/OpenBSD/OpenSSH/portable/openssh-3.4p1.tar.gz)=
3ac9bc346d736b4a51d676faa2a08a57
MD5(./ftp.stealth.net/pub/mirrors/ftp.openssh.com/pub/OpenBSD/OpenSSH/portable/o
penssh-3.4p1.tar.gz)=
3ac9bc346d736b4a51d676faa2a08a57
MD5(./ftp.tku.edu.tw/pub/OpenBSD/OpenSSH/portable/openssh-3.4p1.tar.gz)=
3ac9bc346d736b4a51d676faa2a08a57
MD5(./ftp.uninett.no/pub/OpenBSD/OpenSSH/portable/openssh-3.4p1.tar.gz)=
3ac9bc346d736b4a51d676faa2a08a57
MD5(./ftp.volftp.mondadori.com/mirror/openbsd/OpenSSH/portable/openssh-3.4p1.tar
.gz)=
3ac9bc346d736b4a51d676faa2a08a57
MD5(./ftp7.usa.openbsd.org/pub/os/OpenBSD/OpenSSH/portable/openssh-3.4p1.tar.gz)
=
3ac9bc346d736b4a51d676faa2a08a57
MD5(./hal.csd.auth.gr/mirrors/OpenSSH/portable/openssh-3.4p1.tar.gz)=
3ac9bc346d736b4a51d676faa2a08a57
MD5(./openbsd.csie.nctu.edu.tw/pub/OpenBSD/OpenSSH/portable/openssh-3.4p1.tar.gz
)=
3ac9bc346d736b4a51d676faa2a08a57
MD5(./openbsd.nsysu.edu.tw/pub/OpenBSD/OpenSSH/portable/openssh-3.4p1.tar.gz)=
3ac9bc346d736b4a51d676faa2a08a57
MD5(./openbsd.rug.ac.be/pub/OpenBSD/OpenSSH/portable/openssh-3.4p1.tar.gz)=

The list was taken from http://www.openssh.com/portable.html,
it does NOT contain all the mirrors out there, just the primary ones, I
guess..
The list was taken around 1700 hours EEST.

дата из заголовка:
Date: Thu, 01 Aug 2002 19:56:22 +0300

----------------------- from OpenSSH -----------------------------------

OpenSSH Security Advisory (adv.trojan)

1. Systems affected:

OpenSSH version 3.2.2p1, 3.4p1 and 3.4 have been trojaned on the
OpenBSD ftp server and potentially propagated via the normal mirroring
process to other ftp servers.  The code was inserted some time between
the 30th and 31th of July.  We replaced the trojaned files with their
originals at 7AM MDT, August 1st.

2. Impact:

Anyone who has installed OpenSSH from the OpenBSD ftp server or any
mirror within that time frame should consider his system compromised.
The trojan allows the attacker to gain control of the system as the
user compiling the binary.  Arbitrary commands can be executed.

3. Solution:

Verify that you did not build a trojaned version of the sources.  The
portable SSH tar balls contain PGP signatures that should be verified
before installation.  You can also use the following MD5 checksums for
verification.

MD5 (openssh-3.4p1.tar.gz) =3D 459c1d0262e939d6432f193c7a4ba8a8=20
MD5 (openssh-3.4p1.tar.gz.sig) =3D d5a956263287e7fd261528bb1962f24c
MD5 (openssh-3.4.tgz) =3D 39659226ff5b0d16d0290b21f67c46f2
MD5 (openssh-3.2.2p1.tar.gz) =3D 9d3e1e31e8d6cdbfa3036cb183aa4a01
MD5 (openssh-3.2.2p1.tar.gz.sig) =3D be4f9ed8da1735efd770dc8fa2bb808a

4. Details

When building the OpenSSH binaries, the trojan resides in bf-test.c
and causes code to execute which connects to a specified IP address.
The destination port is normally used by the IRC protocol.  A
connection attempt is made once an hour.  If the connection is
successful, arbitrary commands may be executed.

Three commands are understood by the backdoor:

Command A:  Kill the exploit.
Command D:  Execute a command.
Command M:  Go to sleep.
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^- вот команды для трояна

5. Notice:

Because of the urgency of this issue, the advisory may not be
complete.  Updates will be posted to the OpenSSH web pages if
necessary.

Если не ошибаюсь, порт используется от irc или 6667, это надо в трояне
внимательно изучать, порт можно поменять однако

PS. Для себя я разумеется нашел и скачал версии с троянами: 3.4p1 и 3.2.2p1 которая на самом деле 3.2.3p1

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: openssh, троян."
Сообщение от nubi Искать по авторуВ закладки on 04-Авг-02, 13:33  (MSK)
Спасибо.
  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2023 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру