Une backdoor dans un package sur ftp.bitchx.org

Posté par . Modéré par Pascal Terjan.
Tags :
0
5
juil.
2002
Pirate
Hank Leininger indique sur Securityfocus que le package ircii-pana-1.0c19.tar.gz qui était téléchargeable jusqu'au 1 Juillet, sur ftp.bitchx.org, était vérolé par une backdoor. Le script tente une connection à l'extérieur une fois par heure.

Le même package téléchargeable à partir de ftp.irc.org est sain.

Le code ajouté au package ircii-pana-1.0c19.tar.gz initial est indiqué dans le post de Hank Leininger.

Le problème devient très génant lorsque Hank Leininger s'apperçoit qu'il y a plusieurs copies de ce package sur ftp.bitchx.org (au moins deux), et que certains téléchargement fournissent une version vérolée et pas d'autre. Les utilisateurs qui se connectent avec des modem-cables ou DSL semblent recevoir les versions vérolés, alors que les utilisateurs ayant des connections moins rapide reçoivent la version saine.
De plus, rapatrier le package un par client ftp peut livrer une copie saine alors que Lynx récupère une copie vérolée.

Hank Leininger en arrive à la conclusion que ftp.bitchx.org a surement été rootkité, et qu'il faut donc se méfier de tout package en provenance de ce serveur ou de ses mirroirs.

Les développeurs du site seraient en train de chercher le trou de sécurité dans leur système.

Au moment ou je poste cette news, le site bitchx.org semble fermé.

Cette news est passée sur unixtech.be mais avec le titre bizarre "Apres la backdoor d'irssi, voici celle de BitchX", et juste le lien sur securityfocus.
  • # titre bizarre .....

    Posté par . Évalué à 10.

    Je crois pas, dans mes souvenir c'est exacte (je retrouvé la news http://linuxfr.org/2002/05/25/8391,0,1,8,1.php3(...) de l'époque) il y a un peu plus d'un mois un backdoor avait été trouver dans un package irssi.
    • [^] # Re: titre bizarre .....

      Posté par . Évalué à 10.

      Le problème c'est que si pour la backdoor irssi, la chose est avérée, là en revanche, je ne vois pas le rapport avec bitchX.
      Le package vérolé est effectivement sur un serveur bitchx.org, mais concerne le client ircci. Peut-être y a-t-il un lien entre bitchX et ircci ?

      Ce qui m'étonne, c'est cette envolée de backdoors sur des clients irc. Certains préparerait-ils des ddos ? Les clients irc backdoorés constituent une sacré force de frappe.
      • [^] # Re: titre bizarre .....

        Posté par (page perso) . Évalué à 10.

        Le lien avec bitchX est que ftp.bitchx.org ayant probablement un rootkit il faut faire gaffe à tout ce qui vient de la.
        • [^] # Re: titre bizarre .....

          Posté par . Évalué à 10.

          bande de moule ... aucune culture ...

          irsii-pana _est_ BitchX
          BitchX _est_ irsii-pana .
          • [^] # Re: titre bizarre .....

            Posté par . Évalué à 0.

            ircii-pana veux tu dire ?

            Voilà, quand on m'explique, je comprends. :)

            J'étais passé en vitesse sur des sites parlant de bitchX et j'avais compris que ircii et bitchX étaient des clients indépendants. Mea culpa.
      • [^] # on dit 'ircII' (n/t)

        Posté par . Évalué à -2.

        berk .. salete de filtre
  • # Signer les archives

    Posté par (page perso) . Évalué à 10.

    Avec les derniers évenements sur les backdoor, je comprends pas que les developpeur ne signent pas, ou très peu, les archives (avec GnuPG). Tout le monde ne vérifie pas les signatures, mais si il y en a ne serait-ce que une personne sur cent qui le fait, ça permetrait de trouver le backdoor plus vite.
    • [^] # Re: Signer les archives

      Posté par (page perso) . Évalué à 10.

      C'est clair, pour toutes les archives sur les site FTP, on devrait avoir les signatures MD5 comme vérification de base (mais qui peuvent être usurpées lors d'un hack en même temps que l'archive modifiée) et une signature via GPG qui elle ne peut être contrefaite si le signataire est connu.

      Encore que cela demande que la certification de la clé publique du signataire soit faite correctement...
  • # petite precision

    Posté par . Évalué à 5.

    "Le script tente une connection à l'extérieur une fois par heure. "

    Faudrait ptetre dire que c'est le script de configuration (le fameux ./configure ..)

    Parceque hein .. c'est pas clair :/

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.