LINUX.ORG.RU

Троян в SENDMAIL'e


0

0

CERT.org утверждает, что некоторые копии исходных кодов пакета Sendmail модифицированы злоумышленником, и содержат Трояна.

Следующие файлы были модифицированы.

sendmail.8.12.6.tar.sendmail.8.12.6.tar. gz Z

Эти файлы появились на сервере FTP <ftp.sendmail.org> приблизительно сентября 28, 2002.

>>> Подробности



Проверено: green

Да будет флейм! :-)

А скоко этих троянов в IIS, в других коммерческих софтинах?
И ведь пока сами авторы троянов не сдадут, хер их найдешь.
Вот сила ОпенСурса.

anonymous
()

Флейма не будет. FTP-сервер сендмыла был взломан и в архив с сырцами был вложен троян.

То же самое может произойти с любым проектом. Интересна ситуация складывается... Сперва SSH, теперь сендмыл... Кто следующий?

anonymous
()
Ответ на: комментарий от anonymous

Ну-ка расскажите нам, сколько троянов в сорцах IE? Или хотя бы в бинарнаках, которые я тащу с microsoft.com. Дыры - да, но трояны - это уже слишком. Что я такого не припомню.

anonymous
()

а чем уж так сильно отличается дыра специально оставленная от трояна

anonymous
()

Sorry za translit, no, IMHO, eto vyzyvaet podozrenija, kto-to (ne budem tykat' pal'zem) hochet skomprometirovat' OpenS. komu interesno eto naruku? :))

kreat0r

anonymous
()
Ответ на: комментарий от anonymous

> а чем уж так сильно отличается дыра специально оставленная от трояна

Специально оставленая -- ничем. Более того, она лучше трояна, так как ее очень непросто обнаружить. Ведь какой-нибудь int overflow менее заметен чем подвешивание шелла на порт.

grange
()

anonymous (*) (2002-10-09 10:41:25.498):

>Ну-ка расскажите нам, сколько троянов в сорцах IE? Или хотя бы в
>бинарнаках, которые я тащу с microsoft.com. Дыры - да, но трояны -
>это уже слишком. Что я такого не припомню.

Ну если только ты в MS не работаешь, ты о троянах в IE узнаешь только когда их сдадут.
Чем занимается бинарь доподлинно выяснить чаще невозможно, или крайне сложно.

Можешь дать свою правую руку на отсечение, что твой IE 23 февраля 2010 года при включенном момеде, наличии файла eee.htm на ftp://ie6:myuserdunkel@ftp.somecompany.tw/folder1/folder2/ и установленном фиксе Q345666 не откроет шелл с 12.00 до 14.00 GMT?

Не можешь? А я могу дать обе руки и голову, прочитав сорцы мозиллы.

anonymous
()

Уж сколько раз твердили миру - собирай пакеты, пользуясь fakeroot!

Dselect ★★★
()

>Уж сколько раз твердили миру - собирай пакеты, пользуясь fakeroot!

А что это даст в данном случае? Ну, собрал ты пакет обычным юзером с правами на запись в /usr/src/rpm/build и ../sourcses ../, сомпиляв его вместе с трояном. Рутом установил, запустил - троян работает...

Shrike
()

>> Не можешь? А я могу дать обе руки и голову, прочитав сорцы мозиллы. пиздеть ты можешь и только. никто не в остоянии просмотреть ВСЕ исходники redhat'а, или сказать что все бинарники ставятся именно из тех исходников что идут в комплекте.

anonymous
()

Похоже, кто-то очень хочет повсеместного перехода на PGP-signed source packages :) Пора, вообще-то.

anonymous
()

Кому там не хватало троянов в IE, чем бага с %0 не катит? Вполне себе троян, эффектно и функционально. Почти римоут шелл, по крайней мере, римоут экзекьюшн, что ничуть не хуже.

pazhitnov
()

Никогда не мешает проверить целостность дистрибутива при помощи md5, даже скачав его с официально фтпишника.

используйте нормальную систему портов, к-рая это делает :)

это действительно хорошее напоминание всем...

Spizard
() автор топика


2 Shrike:

Вы внимательно новость читали?

"It is important to understand that the compromise is to the system that is

used to build the Sendmail software and NOT to the systems that run the

Sendmail daemon."

> Ну, собрал ты пакет обычным юзером с правами на запись в /usr/src/rpm/build

Собраю пакеты юзером dummy, который не прописан в /etc/sudoers, не имеет права

вообще лезть в сетку

( iptables -A OUTPUT --uid-owner=10000 -j DROP ) и писать может только в

свой /home/dummy (я тоже могу туда писать), да еще и с locked password.

dselect@pc7235~$ cd /home/dummy

dselect@pc7235 /home/dummy$apt-get source libcln2

Reading Package Lists... Done

Building Dependency Tree... Done

Need to get 2049kB of source archives.

Get:1 ftp://ftp.debian.org sid/main cln 1.1.4-3 (dsc) [655B]

Get:2 ftp://ftp.debian.org sid/main cln 1.1.4-3 (tar) [2042kB]

Get:3 ftp://ftp.debian.org sid/main cln 1.1.4-3 (diff) [6191B]

Fetched 2049kB in 19s (104kB/s)

dpkg-source: extracting cln in cln-1.1.4

dselect@pc7235 /home/dummy$ sudo su dummy

dummy@pc7235:~$ cd cln-1.1.4 ;dpkg-buildpackage

И никаких /usr/src/rpm! :)



Dselect ★★★
()

> используйте нормальную систему портов, к-рая это делает :)

i.e. используйте *BSD :)

З.Ы. вот щас прыщавых флеймеров набежит ;)

Cailean
()

Нормальные люди давно юзают цифровую подпись. Например www.kernel.org

anonymous
()

Cailean, чем прыщи выводите? Скромнее будьте, дружише

anonymous
()

Ппора повсеместно переходить на репозитарии с подписью.
Все пакеты должны подписываться, репозитарий также дролжен быть с подписью.
Все это проблема и головная боль команд, претендующих на звание дистросоздателей.
В альтлинуксе давно уже все подписывают, вплоть до писем в рассылку, теперь понятно, почему.

AVL2 ★★★★★
()

2 Cailean:

> используйте нормальную систему портов, к-рая это делает :)

i.e. использйте Debian и apt-get.

Про то, кто и куда побежал/побежит, я промолчу.

<offtopic>

Хотел я попробовать, что за зверь эта самая FreeBSD.

Почитал FreeBSD handbook, скачал дискетки, отвел место,

ядро [linux'-овое] перекомпилил ( что disklabel читать можно было ).

Гружусь с дискеток и вижу [на второй консоли]

rl0: can't map ports/memory

О чем в соответсвующем руководстве просто сказано "fatal error" без

дальнейших справок.

Хотя списке поддерживаемого железа Realtek 8139/8139C вроде бы есть,

и по FAQ'-ам про нее ничего особенного нет [как это обычно бывает про всякие

кривые железки/драйвера к ним].

Не подскажут [сбежавшиеся изо всех щелей] *BSD гуру, как с этим бороться?

[а то орать suxx/rulezz все мастера, а что по делу сказать - так сразу

утихают]

</offtopic>

Dselect ★★★
()

U debiana net podpisei paketov, U RH, MD i SuSE est' - pgp + md5

anonymous
()

sorry: ......................... gpg + md5 :)

anonymous
()

у дебиана есть подписи пакетов.

anonymous
()

Тут был ехидный вопрос "где трояны в коммерческом софте?"
Пожалуйста: Windows XP - самый крупный в мире троян. Причём особо не скрывающийся. Почитайте, что они в лицензионном соглашении пишут. Поставьте её, не забыв прикрутить ZoneAlarm. Выйдите в интернет и наблюдайте...

hobbit ★★★★★
()

хотелось бы насчет подписанных пакетов в линуксе узнать - где хранятся эти подписи и что именно они гарантируют - 1.целостность данных при копировании или еще и 2.защиту от таких подстав? то бишь, в последнем случае md5 не должна находится на том же фтп что и исходники. все что помню по этому вопросу с 6-й шапки - что гарантируется только пункт 1.

qrot
()

>>Не можешь? А я могу дать обе руки и голову, прочитав сорцы мозиллы А не треснет одно, а то и два места исходники такого размера прочитать? ИМХО, правильно - нужно переходить на пакеты с подписью. А вообще - действительно показано одно из слабых мест софта с открытыми исходниками.

anonymous
()

Все эти MD5 хороши до тех пор, пока кто-нибудь не взломает вебсервер. А то ведь и MD5 можно заменить без труда. А т.к. в среднем дистрибе LINUX тысяч 5 пакетов, которые идут тысяч с 5 разных сайтов, то было бы желание, а трояна засунуть можно. Все равно на каждый пакет security assessments и code review никто не делает.

anonymous
()

2Dselect

Для решения проблемы с Realtek совсем не обязательно искать *BSD гуру, тем более на LOR. Достаточно сделать поиск в google по фразе "rl0: can't map ports/memory" и почитать рекомендации людей либо из freebsd-hardware mailling list, либо из ru.unix.bsd (смотря что больше нравится)

anonymous
()

Да, наверное трудно заменить тот же setup.exe , при взломанном сервере?

anonymous
()

А я пользую "chattr" на критичные файлы, и здесть ломай/не ломай, попробуй файл заменить (в chroot конечно...)

anonymous
()
Ответ на: комментарий от Dselect

To Dselect,

<offtopic>

>Хотя списке поддерживаемого железа Realtek 8139/8139C вроде бы есть, >и по FAQ'-ам про нее ничего особенного нет [как это обычно бывает >про всякие кривые железки/драйвера к ним].

RTFS

from /sys/pci/if_rl.c:

* The RealTek 8139 PCI NIC redefines the meaning of 'low end.' This is * probably the worst PCI ethernet controller ever made, with the possible * exception of the FEAST chip made by SMC.

Ну НЕ-ЛЮ-БИТ её (плату) Bill Paul, который драйверов для сетевушек написал немало.

</offtopic>

anonymous
()

2 anonymous (*) (2002-10-09 23:23:11.87)

> Все эти MD5 хороши до тех пор, пока кто-нибудь не взломает вебсервер. А то

> ведь и MD5 можно заменить без труда.

Надо подменить (в случае с Debian) слишком много файлов - всякие

Release, Release.gpg, Contents-<архитектура>.gz, Packages.gz.

Хотя, без сомнения, это вполне возможно.

2 anonymous (*) (2002-10-10 01:06:08.835)

> Для решения проблемы с Realtek совсем не обязательно искать *BSD гуру

А я их не ищу [тем более здесь], просто хотелось, чтоб крики вроде

"*BSD rulezz!!!" подзатихли. Когда у такого рода "гуру" что-нибудь по делу

спросишь они обычно умолкают, как и в данном случае. А поисковиком

пользоваться я и без Вас умею и вопросы задаю только тогда, когда не смог

найти ответ в FAQ'-ах, man'-ах и т.д.

2 anonymous (*) (2002-10-10 12:09:14.362)

> RTFS

> from /sys/pci/if_rl.c:

Спасибо. Теперь все понял. Однако чтоб почитать этот самый /sys/pci/if_rl.c ,

надо сначала установить систему [по сети, поскольку другого способа нет].

2 anonymous (*) (2002-10-09 22:25:20.784):

> А вообще - действительно показано одно из слабых мест софта с открытыми

> исходниками.

При чем здесь открытые исходники? Что, нельзя взломать архив [который под теми

же *BSD или SunOS], где хранится коммерческий софт?

2 all:

Странные какие-то все эти трояны. Никто не пытается встроить чего-нибудь

в самого демона (что было бы логично - он же по определению работает от

root'-a) и подменить gpg и md5 подписи, а только встраивают какую-то мерзость,

которая пытается что-то сотворить во время компилляции [ хотя почти

наверняка ничего не выйдет ]... Как-то не понятно, кто такой ерундой страдает?

Dselect ★★★
()

ne znau kak tam u debian.. :)) U RPM - md5 + gpg podpis'. gpg public key from RH or MD or SuSE you get with official distro and it is automatically installed in your root's public key ring, :) also this gpg signature can be found somewhere onsite.

anonymous
()
Ответ на: комментарий от Dselect

на оффтопик: отключи в BIOS`e PNP OS Installed - c Realtek поможет

anonymous
()

Dselect: хочешь /sys/pci/if_rl.c без установки системы? ftp://ftp.freebsd.org/pub/FreeBSD/FreeBSD-stable/src/sys/pci/if_rl.c аналогично с заменой stable на current.

А клонов realtek'а масса, кривых из них - столько же, а следить за ними - лучше ну его нафиг IMO... Покупайте FXP... ;) И не тут надо спрашивать, а хотя бы в ru.unix.bsd. Никто не обязан все знать, особенно про таких странных зверей (извини, я вот ничего кроме FXP (Intel EtherExpress100) в последнее время не признаю, ну разве что Tulip'ы немного можно пользовать)

patologoanatom

anonymous
()
Ответ на: комментарий от Dselect

> rl0: can't map ports/memory

Извините милейший - а _что_ у вас к конфиге кэрнела нарисовано ??? неужто: device rl #???? а про такого типа записи слыхали device rl port NxNNN irq N iomem NxNNNNN # ну совсем не на своем месте висит

___ Good luck

anonymous
()

2 mumpster: Чудо в перьях. Ты хоть текст-то по своему линку почитай!

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.