Une backdoor dans un package sur ftp.bitchx.org

Posté par Brunus le 05 juillet 2002 à 00:01. Modéré par Pascal Terjan.

Étiquettes :

juil.

2002

Hank Leininger indique sur Securityfocus que le package ircii-pana-1.0c19.tar.gz qui était téléchargeable jusqu'au 1 Juillet, sur ftp.bitchx.org, était vérolé par une backdoor. Le script tente une connection à l'extérieur une fois par heure.

Le même package téléchargeable à partir de ftp.irc.org est sain.

Le code ajouté au package ircii-pana-1.0c19.tar.gz initial est indiqué dans le post de Hank Leininger.

Le problème devient très génant lorsque Hank Leininger s'apperçoit qu'il y a plusieurs copies de ce package sur ftp.bitchx.org (au moins deux), et que certains téléchargement fournissent une version vérolée et pas d'autre. Les utilisateurs qui se connectent avec des modem-cables ou DSL semblent recevoir les versions vérolés, alors que les utilisateurs ayant des connections moins rapide reçoivent la version saine.
De plus, rapatrier le package un par client ftp peut livrer une copie saine alors que Lynx récupère une copie vérolée.

Hank Leininger en arrive à la conclusion que ftp.bitchx.org a surement été rootkité, et qu'il faut donc se méfier de tout package en provenance de ce serveur ou de ses mirroirs.

Les développeurs du site seraient en train de chercher le trou de sécurité dans leur système.

Au moment ou je poste cette news, le site bitchx.org semble fermé.

Cette news est passée sur unixtech.be mais avec le titre bizarre "Apres la backdoor d'irssi, voici celle de BitchX", et juste le lien sur securityfocus.

Aller plus loin

La source Securityfocus (6 clics)
La source Unixtech (2 clics)

# titre bizarre .....

Posté par Aurelien le 05 juillet 2002 à 02:20. Évalué à 10.

Je crois pas, dans mes souvenir c'est exacte (je retrouvé la news http://linuxfr.org/2002/05/25/8391,0,1,8,1.php3(...) de l'époque) il y a un peu plus d'un mois un backdoor avait été trouver dans un package irssi.
- [^] # Re: titre bizarre .....
  
  Posté par Pierre Tramo le 05 juillet 2002 à 08:06. Évalué à 10.
  
  Le problème c'est que si pour la backdoor irssi, la chose est avérée, là en revanche, je ne vois pas le rapport avec bitchX.
  Le package vérolé est effectivement sur un serveur bitchx.org, mais concerne le client ircci. Peut-être y a-t-il un lien entre bitchX et ircci ?
  
  Ce qui m'étonne, c'est cette envolée de backdoors sur des clients irc. Certains préparerait-ils des ddos ? Les clients irc backdoorés constituent une sacré force de frappe.
  - [^] # Re: titre bizarre .....
    
    Posté par Pascal Terjan (site web personnel) le 05 juillet 2002 à 09:20. Évalué à 10.
    
    Le lien avec bitchX est que ftp.bitchx.org ayant probablement un rootkit il faut faire gaffe à tout ce qui vient de la.
    - [^] # Re: titre bizarre .....
      
      Posté par Loic Jaquemet le 05 juillet 2002 à 09:45. Évalué à 10.
      
      bande de moule ... aucune culture ...
      
      irsii-pana _est_ BitchX
      BitchX _est_ irsii-pana .
      - [^] # Re: titre bizarre .....
        
        Posté par Pierre Tramo le 05 juillet 2002 à 09:49. Évalué à 0.
        
        ircii-pana veux tu dire ?
        
        Voilà, quand on m'explique, je comprends. :)
        
        J'étais passé en vitesse sur des sites parlant de bitchX et j'avais compris que ircii et bitchX étaient des clients indépendants. Mea culpa.
        
        [^] # Re: titre bizarre .....
        
        Posté par Loic Jaquemet le 05 juillet 2002 à 10:06. Évalué à 3.
        
        bah en fait , -> apt-get source bitchx -> ircii-pana.tgz ....
        
        donc ....
  - [^] # on dit 'ircII' (n/t)
    
    Posté par woof le 06 juillet 2002 à 08:03. Évalué à -2.
    
    berk .. salete de filtre
# Signer les archives

Posté par Aurélien Jarno (site web personnel) le 05 juillet 2002 à 15:30. Évalué à 10.

Avec les derniers évenements sur les backdoor, je comprends pas que les developpeur ne signent pas, ou très peu, les archives (avec GnuPG). Tout le monde ne vérifie pas les signatures, mais si il y en a ne serait-ce que une personne sur cent qui le fait, ça permetrait de trouver le backdoor plus vite.
- [^] # Re: Signer les archives
  
  Posté par Foxy (site web personnel) le 06 juillet 2002 à 00:41. Évalué à 10.
  
  C'est clair, pour toutes les archives sur les site FTP, on devrait avoir les signatures MD5 comme vérification de base (mais qui peuvent être usurpées lors d'un hack en même temps que l'archive modifiée) et une signature via GPG qui elle ne peut être contrefaite si le signataire est connu.
  
  Encore que cela demande que la certification de la clé publique du signataire soit faite correctement...
# petite precision

Posté par woof le 06 juillet 2002 à 08:07. Évalué à 5.

"Le script tente une connection à l'extérieur une fois par heure. "

Faudrait ptetre dire que c'est le script de configuration (le fameux ./configure ..)

Parceque hein .. c'est pas clair :/

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.