symlink.ch
Wissen Vernetzt - deutsche News für die Welt
 
symlink.ch
FAQ
Mission
Über uns
Richtlinien
Moderation
Einstellungen
Story einsenden
Suchen & Index
Ruhmeshalle
Statistiken
Umfragen
Redaktion
Themen
Partner
Planet
XML | RDF | RSS
PDA | WAP | IRC
Symbar für Opera
Symbar für Mozilla

Freunde
Benutzergruppen
LUG Switzerland
LUG Vorarlberg
LUGen in DE
SIUG
CCCZH
Organisationen
Wilhelm Tux
FSF Europe
Events
LinuxDay Dornbirn
BBA Schweiz
CoSin in Bremgarten AG
VCFe in München
Menschen
maol
Flupp
Ventilator
dawn
gumbo
krümelmonster
XTaran
maradong
tuxedo

 
ircii backdoored
Veröffentlicht durch maol am Montag 01. Juli, 20:19
Aus der Warnung Abteilung
Security soltix schreibt "Wie Hank Leiniger so eben auf der Bugtraq-Mailinglist verlauten liess ist der aktuell auf ftp.bitchx.com erhaeltliche ircii-Client mit einem Trojaner verseucht. Das ./configure-Skript oeffnet eine Shell per Reverse-Telnet zu einem anderen Host. Wer sich den Client kuerzlich gezogen hat sollte das dringend mal ueberpruefen."

"Es handelt sich um eine aehnliche Backdoor wie Sie vor einiger Zeit im irssi und in Fragroute aufgetaucht ist.

Originalwortlaut:
A few hours ago (1 AM US/Eastern time, July 1) we downloaded ircii-pana-1.0c19.tar.gz from ftp.bitchx.com (216.165.191.5) and reviewed the configure script before running it. It has essentially the same configure backdoor as fragroute-1.2.tar.gz -- a TCP connection is made outbound, with a shell bound to it (a reverse telnet). This appears to retry/respawn once per hour. [......]
Lustigerweise wurde wohl auch der FTP-Server manipuliert so dass nicht alle Benutzer eine verseuchte Version erhalten."

IBM und HP verkaufen Rechenzeit ohne Rechner | Druckausgabe | man seid ihr schlecht geworden  >

 

 
symlink.ch Login
Login:

Passwort:

extrahierte Links
  • Mehr zu Security
  • Auch von maol
    •

    Diese Diskussion wurde archiviert. Es können keine neuen Kommentare abgegeben werden.
    gezielte Attacken? (Score:1)
    Von kruemelmonster (symlink.5.kruemi@spamgourmet.com) am Tuesday 02. July, 08:38 MES (#1)
    (User #3 Info) http://www.tedaldi.net
    Hmm... Ich frag mich eben, was da los ist! In letzter Zeit häufen sich m.E. die Sicherheitsprobs in grossen OpenSource Projekten. Angefangen bei PHP über ssh über apache dann wieder ssh und dazwischen wurden 2 chat-clients auf den FTP-Servern verseucht!
    Ist der Druck auf die Entwickler so gewachsen, dass sie neue Verisonen unter eitdruck bringen müssen und dabei die Sicherheit etwas zurückbleibt? Oder wird einfach vermehrt das Augenemerk auf diese Software gelegt? Oder (achtung Verschwörungstheorie) sind da andere Mächte dahinter, die ganz gezielt der OS-Comunity schaden wollen?
    Fragen über Fragen...
    --
    auch die Zehe ist ein Laufwerk
    Re:gezielte Attacken? (Score:1)
    Von maol (maol.symlink.ch) am Tuesday 02. July, 08:57 MES (#2)
    (User #1 Info) http://www.maol.ch/
    "Ist der Druck auf die Entwickler so gewachsen, dass sie neue Verisonen unter eitdruck bringen müssen und dabei die Sicherheit etwas zurückbleibt? Oder wird einfach vermehrt das Augenemerk auf diese Software gelegt?"

    Ich denke, letzteres ist der eher Fall. Das Phänomen ist aber nicht neu, es gab Zeiten, da musste sendmail wöchentlich einen Security Fix bringen. Nun stehen Apache und OpenSSH an der Schwelle zur Corporate IT, haben die Schwelle sogar schon vielfach überschritten, und dadurch ist es natürlich für viele Firmen und Personen lohnend, bei diesen Programmen ein Hole zu finden. Sie hoffen, dadurch als Experten auf dem Gebiet bekannt zu werden, und Aufträge zu erhalten.

    --
    Where do I find the Any Key?

    generelles Signieren? (Score:2)
    Von P2501 am Tuesday 02. July, 10:47 MES (#3)
    (User #31 Info) http://www.p2501.ch/

    Allmählich häufen sich die Backdoors in ./configure-Skripten. IIRC sind die doch durch den Ersatz des offiziellen Packets durch ein modifiziertes "eingebaut" worden. So langsam frage ich mich, ob man nicht dazu übergehen sollte, prinzipiell alle Packete mittels GnuPG (oder auch einem anderen Programm) zu signieren.
    Re:generelles Signieren? (Score:0)
    Von Anonymer Feigling am Tuesday 02. July, 14:37 MES (#4)
    definitiv. Der Aufwand dafür muss für Entwickler und Benutzer vertretbar sein.
    Signieren halt ich nicht für die Lösung (Score:0)
    Von Anonymer Feigling am Tuesday 02. July, 15:07 MES (#5)
    Es muss eine leichtbedienbare Sandbox her, die alle Programme je nach Userwunsch kapselt. Dann gibt es keine Probleme. Dann können soviele Backdoors da sein, dass es nicht mehr auszuhalten ist, die Apps bekommen dann immer nur das zu sehen, was ich will und können immer nur Schaden innerhalb eines Sandkastens anrichten.
    Re:Signieren halt ich nicht für die Lösung (Score:2)
    Von P2501 am Wednesday 03. July, 09:47 MES (#6)
    (User #31 Info) http://www.p2501.ch/

    Das halte ich für sehr schwer zu realisieren. Problematisch sind hier vor allem Netzwerkprogramme aller Art. Wie willst du der Sandbox beibringen, die normalen Connects der Applikation von "bösen" Connects des darin enthaltenen Trojaners zu unterscheiden?

    Linux User Group Schweiz
    Durchsuche symlink.ch:  

    Never be led astray onto the path of virtue.    		 trash.net

    Anfang | Story einsenden | ältere Features | alte Umfragen | FAQ | Autoren | Einstellungen