Pirate Une backdoor dans un package sur ftp.bitchx.org

Posté par . Modéré par Pascal Terjan.
Tags :
0
5
juil.
2002
Pirate
Hank Leininger indique sur Securityfocus que le package ircii-pana-1.0c19.tar.gz qui était téléchargeable jusqu'au 1 Juillet, sur ftp.bitchx.org, était vérolé par une backdoor. Le script tente une connection à l'extérieur une fois par heure.

Le même package téléchargeable à partir de ftp.irc.org est sain.

Le code ajouté au package ircii-pana-1.0c19.tar.gz initial est indiqué dans le post de Hank Leininger.

Le problème devient très génant lorsque Hank Leininger s'apperçoit qu'il y a plusieurs copies de ce package sur ftp.bitchx.org (au moins deux), et que certains téléchargement fournissent une version vérolée et pas d'autre. Les utilisateurs qui se connectent avec des modem-cables ou DSL semblent recevoir les versions vérolés, alors que les utilisateurs ayant des connections moins rapide reçoivent la version saine.
De plus, rapatrier le package un par client ftp peut livrer une copie saine alors que Lynx récupère une copie vérolée.

Hank Leininger en arrive à la conclusion que ftp.bitchx.org a surement été rootkité, et qu'il faut donc se méfier de tout package en provenance de ce serveur ou de ses mirroirs.

Les développeurs du site seraient en train de chercher le trou de sécurité dans leur système.

Au moment ou je poste cette news, le site bitchx.org semble fermé.

Cette news est passée sur unixtech.be mais avec le titre bizarre "Apres la backdoor d'irssi, voici celle de BitchX", et juste le lien sur securityfocus.
  • # titre bizarre .....

    Posté par . Évalué à  10 .

    Je crois pas, dans mes souvenir c'est exacte (je retrouvé la news http://linuxfr.org/2002/05/25/8391,0,1,8,1.php3(...) de l'époque) il y a un peu plus d'un mois un backdoor avait été trouver dans un package irssi.
    • [^] # Re: titre bizarre .....

      Posté par (page perso) . Évalué à  10 .

      Le problème c'est que si pour la backdoor irssi, la chose est avérée, là en revanche, je ne vois pas le rapport avec bitchX.
      Le package vérolé est effectivement sur un serveur bitchx.org, mais concerne le client ircci. Peut-être y a-t-il un lien entre bitchX et ircci ?

      Ce qui m'étonne, c'est cette envolée de backdoors sur des clients irc. Certains préparerait-ils des ddos ? Les clients irc backdoorés constituent une sacré force de frappe.
  • # Signer les archives

    Posté par (page perso) . Évalué à  10 .

    Avec les derniers évenements sur les backdoor, je comprends pas que les developpeur ne signent pas, ou très peu, les archives (avec GnuPG). Tout le monde ne vérifie pas les signatures, mais si il y en a ne serait-ce que une personne sur cent qui le fait, ça permetrait de trouver le backdoor plus vite.
    • [^] # Re: Signer les archives

      Posté par (page perso) . Évalué à  10 .

      C'est clair, pour toutes les archives sur les site FTP, on devrait avoir les signatures MD5 comme vérification de base (mais qui peuvent être usurpées lors d'un hack en même temps que l'archive modifiée) et une signature via GPG qui elle ne peut être contrefaite si le signataire est connu.

      Encore que cela demande que la certification de la clé publique du signataire soit faite correctement...
  • # petite precision

    Posté par . Évalué à  5 .

    "Le script tente une connection à l'extérieur une fois par heure. "

    Faudrait ptetre dire que c'est le script de configuration (le fameux ./configure ..)

    Parceque hein .. c'est pas clair :/

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.