форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"openssh, троян."
Сообщение от nubi on 03-Авг-02, 00:24  (MSK)
История с openssh это ни в какие рамки не лезет... Я собссно хотел спросить - есть у кого-нибудь затрояненый тарбол? Оно там после активации Makefile.in не поправлает на предмет убрать bf-test.c? Расскажите, плз, кто столкнулся с этим делом.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: openssh, троян."
Сообщение от nubi on 03-Авг-02, 01:05  (MSK)
Lawr, вы у себя упдайтили все ssh? У меня на одном хосте было следующее: увидел netstat -a | grep LIST  некий localhost:1212 , с перепугу/дури/пьяни, зашел туда и что-то ему послал, после чего localhost:1212 умер. Следов никаких после не нашел и теперь нет мне покоя. Что это было, как говоится..... Ничего не нашел.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "RE: openssh, троян."
	Сообщение от lavr on 04-Авг-02, 13:22  (MSK)
	>Lawr, вы у себя упдайтили все ssh? У меня на одном хосте >было следующее: увидел netstat -a | grep LIST  некий localhost:1212 >, с перепугу/дури/пьяни, зашел туда и что-то ему послал, после чего >localhost:1212 умер. Следов никаких после не нашел и теперь нет мне >покоя. Что это было, как говоится..... Ничего не нашел. в смысле "упдайтили все ssh" - если имеется ввиду переход на 3.4p1 - то ДА. ниже цитаты: Anyways, we did some research here at Oulu regarding the propagation of the trojaned OpenSSH-3.4p1.tar.gz, and found out the following: Trojaned mirrors: 3ac9bc346d736b4a51d676faa2a08a57 MD5 (./ftp.club-internet.fr/pub/OpenBSD/OpenSSH/portable/openssh-3.4p1.tar.gz)= 3ac9bc346d736b4a51d676faa2a08a57 MD5(./ftp.easynet.be/openssh/portable/openssh-3.4p1.tar.gz)= 3ac9bc346d736b4a51d676faa2a08a57 MD5(./ftp.freenet.de/pub/ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-3. 4p1.tar.gz)= 3ac9bc346d736b4a51d676faa2a08a57 MD5(./ftp.fsn.hu/pub/OpenBSD/OpenSSH/portable/openssh-3.4p1.tar.gz)= 3ac9bc346d736b4a51d676faa2a08a57 MD5(./ftp.inet.no/pub/OpenBSD/OpenSSH/portable/openssh-3.4p1.tar.gz)= 3ac9bc346d736b4a51d676faa2a08a57 MD5(./ftp.isu.net.sa/pub/mirrors/ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/op enssh-3.4p1.tar.gz)= 3ac9bc346d736b4a51d676faa2a08a57 MD5 (./ftp.jaquet.dk/pub/openSSH/portable/openssh-3.4p1.tar.gz)= 3ac9bc346d736b4a51d676faa2a08a57 MD5(./ftp.openbsd.cz/pub/OpenBSD/OpenSSH/portable/openssh-3.4p1.tar.gz)= 3ac9bc346d736b4a51d676faa2a08a57 MD5(./ftp.openbsd.org.br/pub/OpenBSD/OpenSSH/portable/openssh-3.4p1.tar.gz)= 3ac9bc346d736b4a51d676faa2a08a57 MD5(./ftp.openbsd.ru/pub/OpenBSD/OpenSSH/portable/openssh-3.4p1.tar.gz)= 3ac9bc346d736b4a51d676faa2a08a57 MD5(./ftp.sajinet.com.pe/pub/OpenBSD/OpenSSH/portable/openssh-3.4p1.tar.gz)= 3ac9bc346d736b4a51d676faa2a08a57 MD5(./ftp.stealth.net/pub/mirrors/ftp.openssh.com/pub/OpenBSD/OpenSSH/portable/o penssh-3.4p1.tar.gz)= 3ac9bc346d736b4a51d676faa2a08a57 MD5(./ftp.tku.edu.tw/pub/OpenBSD/OpenSSH/portable/openssh-3.4p1.tar.gz)= 3ac9bc346d736b4a51d676faa2a08a57 MD5(./ftp.uninett.no/pub/OpenBSD/OpenSSH/portable/openssh-3.4p1.tar.gz)= 3ac9bc346d736b4a51d676faa2a08a57 MD5(./ftp.volftp.mondadori.com/mirror/openbsd/OpenSSH/portable/openssh-3.4p1.tar .gz)= 3ac9bc346d736b4a51d676faa2a08a57 MD5(./ftp7.usa.openbsd.org/pub/os/OpenBSD/OpenSSH/portable/openssh-3.4p1.tar.gz) = 3ac9bc346d736b4a51d676faa2a08a57 MD5(./hal.csd.auth.gr/mirrors/OpenSSH/portable/openssh-3.4p1.tar.gz)= 3ac9bc346d736b4a51d676faa2a08a57 MD5(./openbsd.csie.nctu.edu.tw/pub/OpenBSD/OpenSSH/portable/openssh-3.4p1.tar.gz )= 3ac9bc346d736b4a51d676faa2a08a57 MD5(./openbsd.nsysu.edu.tw/pub/OpenBSD/OpenSSH/portable/openssh-3.4p1.tar.gz)= 3ac9bc346d736b4a51d676faa2a08a57 MD5(./openbsd.rug.ac.be/pub/OpenBSD/OpenSSH/portable/openssh-3.4p1.tar.gz)= The list was taken from http://www.openssh.com/portable.html, it does NOT contain all the mirrors out there, just the primary ones, I guess.. The list was taken around 1700 hours EEST. дата из заголовка: Date: Thu, 01 Aug 2002 19:56:22 +0300 ----------------------- from OpenSSH ----------------------------------- OpenSSH Security Advisory (adv.trojan) 1. Systems affected: OpenSSH version 3.2.2p1, 3.4p1 and 3.4 have been trojaned on the OpenBSD ftp server and potentially propagated via the normal mirroring process to other ftp servers.  The code was inserted some time between the 30th and 31th of July.  We replaced the trojaned files with their originals at 7AM MDT, August 1st. 2. Impact: Anyone who has installed OpenSSH from the OpenBSD ftp server or any mirror within that time frame should consider his system compromised. The trojan allows the attacker to gain control of the system as the user compiling the binary.  Arbitrary commands can be executed. 3. Solution: Verify that you did not build a trojaned version of the sources.  The portable SSH tar balls contain PGP signatures that should be verified before installation.  You can also use the following MD5 checksums for verification. MD5 (openssh-3.4p1.tar.gz) =3D 459c1d0262e939d6432f193c7a4ba8a8=20 MD5 (openssh-3.4p1.tar.gz.sig) =3D d5a956263287e7fd261528bb1962f24c MD5 (openssh-3.4.tgz) =3D 39659226ff5b0d16d0290b21f67c46f2 MD5 (openssh-3.2.2p1.tar.gz) =3D 9d3e1e31e8d6cdbfa3036cb183aa4a01 MD5 (openssh-3.2.2p1.tar.gz.sig) =3D be4f9ed8da1735efd770dc8fa2bb808a 4. Details When building the OpenSSH binaries, the trojan resides in bf-test.c and causes code to execute which connects to a specified IP address. The destination port is normally used by the IRC protocol.  A connection attempt is made once an hour.  If the connection is successful, arbitrary commands may be executed. Three commands are understood by the backdoor: Command A:  Kill the exploit. Command D:  Execute a command. Command M:  Go to sleep. ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^- вот команды для трояна 5. Notice: Because of the urgency of this issue, the advisory may not be complete.  Updates will be posted to the OpenSSH web pages if necessary. Если не ошибаюсь, порт используется от irc или 6667, это надо в трояне внимательно изучать, порт можно поменять однако PS. Для себя я разумеется нашел и скачал версии с троянами: 3.4p1 и 3.2.2p1 которая на самом деле 3.2.3p1
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "RE: openssh, троян."
	Сообщение от nubi on 04-Авг-02, 13:33  (MSK)
	Спасибо.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.