Vsftpd-daemon bevatte backdoor

De ontwikkelaar van ftp-server Vsftpd heeft laten weten dat op zijn website korte tijd een versie stond die een backdoor bevatte. Het is nog onduidelijk hoe de desbetreffende binary op zijn website is gekomen en wie deze daar heeft geplaatst.

Vsftpd-ontwikkelaar Chris Evans schrijft op zijn blog dat hij een waarschuwing had ontvangen dat op de Vsftpd-site een tarball was aangetroffen die niet overeenkwam met de gpg-handtekening. Bij nader onderzoek bleek vsftpd-2.3.4.tar.gz, bedoeld voor Linux-systemen, een backdoor te bevatten. Een gebruiker die inlogt met gebruikersnaam ':)' op poort 6200, zou toegang krijgen tot een shell.

Hoe de gemanipuleerde Vsftpd-versie op de officiële website van de ftp-daemon is terechtgekomen, is onduidelijk. De software wordt door de ontwikkelaar gepromoot als 'zeer veilig'. Evans spreekt echter het vermoeden uit dat er kattenkwaad in het spel is; niet alleen wordt de backdoor nauwelijks verhuld, ook zou de ftp-daemon niet actief aan de buitenwereld kenbaar maken dat deze een achterdeur bevat. Desondanks heeft Evans besloten om zijn code voorlopig te hosten op Appspot.

Reacties (75)

Verwijderd 4 juli 2011 16:57

Werkt dus alleen als er open toegang tot internet is zo te zien? 6200 is een beetje een random iets om open te hebben als je alleen een FTP server toegankelijk wil maken.

_JGC_ @Verwijderd • 4 juli 2011 18:06

Het nieuwsbericht klopt niet. Bij het invoeren van ":)" als gebruikersnaam maakt de FTP server zelf connectie op poort 6200 met het IP van de aanvaller. Aangezien de meeste hosts geen uitgaande verbindingen firewallen ben je dus over het algemeen gewoon vatbaar voor deze backdoor.

De aanvaller heeft gewoon een servertje draaien waarmee commando's aan die shell worden gestuurd.

Edit: Ten tijde van deze reactie was pastebin down met daarin de code van deze backdoor. Het blijkt dat bij het invoeren van ":)" als username een servertje op poort 6200 wordt opengezet waarbij stdin, stdout en stderr worden gesloten en vervolgens verbonden aan /bin/sh. Elke connectie op die poort resulteert vervolgens in een volledig bruikbare shell.

[Reactie gewijzigd door _JGC_ op 6 augustus 2024 11:10]

mkools24 @_JGC_ • 4 juli 2011 21:02

Ik draai ook 2.3.4. De laatste versie voor Gentoo Linux (uit de repository). Hoe weet ik nu of ik vatbaar ben? Dit baart me toch wel zorgen, erg slordig dit.

ChaoZero @mkools24 • 4 juli 2011 21:33

Niet zo heel lastig...

Open op een willekeurige linux-bak een terminal en doe:
nc -l -p 6200
(edit: poort 6200 moet op die (aanvallende) bak wel benaderbaar zijn natuurlijk!)
vervolgens in een nieuwe terminal:
ftp :)@ipvanjouwserver

Als je in de eerste terminal dan iets te zien krijgt ben je vatbaar.
Zo niet, wordt er geen verbinding gemaakt met de aanvaller op poort 6200 en heb jij geen last van deze backdoor.

[Reactie gewijzigd door ChaoZero op 6 augustus 2024 11:10]

Gepetto @ChaoZero • 5 juli 2011 14:58

Niet zo heel lastig...

Open op een willekeurige linux-bak een terminal en doe:

Werkt even goed in een dos-boxje. Niet iedereen heeft een Linux machine tot zijn beschikking namelijk.

c:\> ftp :)@ipadres:6200

[Reactie gewijzigd door Gepetto op 6 augustus 2024 11:10]

thegve @Gepetto • 5 juli 2011 21:17

Maar wat jij zegt nou net niet.

Je moet een reguliere FTP sessie opzetten begrijp ik (op poort 21), dan verbind vsftpd naar jouw eigen IP (het attacker-IP) op poort 6200. Daar moet je dus zelf luisteren op poort 6200.
Bijvoorbeeld via netcat.

Hoe je dat onder Windows voor elkaar krijgt weet ik niet, niet iedereen heeft een Windows machine tot zijn beschikking;).

Gepetto @thegve • 8 juli 2011 12:01

Kwestie van geduld.

Dreamvoid @Verwijderd • 4 juli 2011 17:00

Het is voor een geinfecteerde vsftpd natuurlijk een koud kunstje om 6200 via UPnP te openen.

Verwijderd @Dreamvoid • 4 juli 2011 17:37

Je hebt gelijk. Al lijkt me dat op zakelijke hardware niet van toepassing. Dus erg grote data diefstallen hoeven we niet direct op te wachten.

[Reactie gewijzigd door Verwijderd op 6 augustus 2024 11:10]

Gomez12 @Dreamvoid • 5 juli 2011 14:58

En welke doelwitten hebben dan UPnP ingesteld?

Het is leuk voor thuisnetwerken, maar niet meer dan dat...

marti-n @Verwijderd • 4 juli 2011 17:05

ach, ik ken genoeg mensen die gewoon alle poorten open zetten in hun router, anders moeten ze met games steeds poorten toevoegen xD

Wim-Bart @marti-n • 4 juli 2011 17:45

Heb de laatste jaren nog nooit een port foward voor een game hoeven maken. Dus argument valt wel mee

Verwijderd @Wim-Bart • 4 juli 2011 17:51

misschien staan al je poorten dan al open

iceheart @Verwijderd • 4 juli 2011 18:15

of wellicht gewoon 'enable uPnP' aangevinkt? jemig mensen, dat is hiervoor gemaakt, en werkt ondertussen heel behoorlijk

blissard @iceheart • 4 juli 2011 19:21

volledig offtopic, maar BFBC2 crashte daar toch op?

sjongenelen @iceheart • 4 juli 2011 20:26

[offtopic] heb ik problemen mee -> experia box

jammer stukje software zit er in dat ding.. [offtopic]

Verwijderd @sjongenelen • 4 juli 2011 22:41

Een fatsoenlijk modem kopen lost het waarschijnlijk wel op.

Harrstein @Verwijderd • 5 juli 2011 00:21

poog jij maar eens sip instellingen van kpn los te trommelen. wish you luck.

ZpAz

@Wim-Bart • 4 juli 2011 18:13

Via upnp is dat volgens mij ook niet meer nodig?

Verwijderd @Wim-Bart • 4 juli 2011 21:23

Uhm je hoeft normaliter voor een game (client applicatie) geen poorten te forwarden.
Voor bepaalde media initiatie, torrent (specifieke clients) en services wel.

Rembert @marti-n • 4 juli 2011 17:36

En jij durft dit met droge ogen hier op tweakers te verkondigen? Op zijn minst zou ik hierbij een opmerking verwachten dat je ze hebt aangeraden / aangeboden hun modem goed in te stellen. Nu komt het wel heel kiddie over.

84hannes @Rembert • 4 juli 2011 19:42

Ik verlang terug naar de tijd dat ik nog gewoon 1 computer op het internet aangesloten heb. Een firewall is zoiets als een gracht om je tuin graven omdat je misschien het raam niet dicht hebt gedaan. Iemand die software op je computer kan installeren om naar poort 6200 te luisteren kan ook naar meer reguliere poorten luisteren, daar doet een firewall vrij weinig aan.

mae-t.net @Rembert • 4 juli 2011 23:46

Toch kan je dat heel lang overleven, zolang je je computer maar van een goede firewall voorziet. Of je dat ook echt moet willen, is inderdaad een ander verhaal. Overigens betekent "alles openzetten" in principe ook maar dat je met 1 enkele computer aan het internet hangt.

jb044 @Rembert • 5 juli 2011 06:01

Och ik heb het bewust wel gedaan bij gebrek aan een bridge mode op m'n UPC router en zie even niet wat daar zo 'kiddie' aan is? Natuurlijk draait er wel een firewall en ditto aanvullende beveiligingssoftware op m'n homebrew server.

OT ftp is natuurlijk wel een verouderd onveilig protocol en per definitie nooit "very secure"

marcunator @Rembert • 5 juli 2011 12:09

Nou, ik heb alle poorten open. Heel naïef moet ik toegeven, want ik weet niet alle consequenties hiervan..

KaWaReZ

4 juli 2011 17:53

Om even helemaal terug te gaan naar hier ergens boven...

pgp/gpg whatever handtekening zeg me niks, ik kan me indenken dat het een of ander veiligheidscertificaat is. Maar ben ik daarom nu een sukkel?
een Tarball zegt me ook weinig... kan me voorstellen dat het een soort zip bestand zou kunnen zijn. Ben ik nu meteen een achterlijke?

Ja ik ben het eens dat van tweakers verwacht wordt dat ze wel wat kennis in huis hebben... maar als een artikel over unix based OS' en gaat, kun je dan van een windowspersoon verwachten wat allerhande terminologie voor staat?
Of omgekeerd? (ok kans daarop is groter)...

Als ik hier een heel moeilijk verhaal af ga steken over netwerken en fibre switching etc dan zal ook 90% af gaan haken omdat ze dr geen kokosnoot van snappen?

Beetje kort door de bocht jongens

of doen we tegenwoordig allemaal aan rallyrijden?

phosporus @KaWaReZ • 4 juli 2011 18:56

Dit artikel gaat over een Unix based stukje software. Dan ga je inderdaad over tarballs en (open)PGP praten. Dat sommige mensen die kennis niet hebben wil nog niet zeggen dat Tweakers.net niet een technisch artikel mag schrijven aangezien alles wat er in staat relevant is voor de gebruikers van vsftpd.

Dit zie je ook bij de ontwikkelingen van bijvoorbeeld grafeen. Die artikelen vragen ook een beetje kennis wil je het 100% begrijpen.

Ik zou graag zien dat dit niveau van gevraagde technische kennis vaker nodig was. Maakt het toch interessanter.

Verwijderd @KaWaReZ • 4 juli 2011 18:08

Helemaal mee eens. Er zijn veel verschillende mensen met allemaal verschillende achtergronden en het is onmogelijk om over alles genoeg kennis te hebben. Tevens zijn er ook personen die nog jong/onervaren zijn en deze kunnen ook wel wat uitleg gebruiken om zo iets bij te leren.

Natuurlijk kan ik dergelijke termen wel ff googlen en kom ik er waarschijnlijk redelijk snel achter. Maar er van uit gaan dat iedereen dergelijke terminologie weet, lijkt mij een slechte zaak. Mocht deze vraag dan komen kan deze beter op een normale manier beantwoord worden.

Verwijderd @KaWaReZ • 4 juli 2011 18:20

Ik denk dat je dat anders moet zien.
Er zijn zoveel verschillende artikelen,sommige interesant voor je,en andere weer niet.
Het lijken mij redelijk standaard termen,hoewel ik ze in 1st instantie ook niet kon plaatsen.
De doelgroep van dit artikel is welicht anders.En dat moet kunnen.
Een ander artikel dat over games gaat bijvoorbeeld is waarschijnlijk meer op anderen gedoeld,en dan zijn deze mensen weer minder in geintereseerd.
En een beetje technische aanleg,gewoon het vermogen om iets te snappen mag wel verwacht worden van lezers.
Het is geen site ï.s.m "knoop in je zakdoek "ofzo.

Hoewel ik in het artikel dingen tegen kom die ik niet weet,is de algehele strekking wel duidelijk.
En dat vind ik best interesant om te lezen,hoewel ik er waarschijnlijk nooit iets mee van doen zal hebben.

mae-t.net @KaWaReZ • 4 juli 2011 23:52

Je bent geen achterlijke, want dat een tarball een soort zipbestand is had je in 1 keer goed geraden of gegoogeld.

Dat een paar specifieke jargonbegrippen misschien wel een onmouseover zouden behoeven, zoals hier wel gebruikelijk is voor de iets minder technische tweakers (kan dat dan?), daar zit wel wat in.

Verwijderd @KaWaReZ • 5 juli 2011 10:50

Maar dan wil ik ook dat mij quantum computer artikelen een keer deugdelijk uitgelegd worden!

verder: /care dat iemand niet wil googlen

Verwijderd @KaWaReZ • 5 juli 2011 20:52

Pretty Good Privacy (PGP) was al sinds het begin in 1991 beschikbaar voor DOS en even later Windows, dus zelfs Windows-gebruikers hebben tijd genoeg gehad om het te leren kennen.

Ik gok dat sommige "tweakers" hier toen nog niet eens geboren waren...

PS: een echte tweaker is (of blijft) uiteraard geen exclusieve "Windows-persoon", maar probeert af en toe ook eens wat anders uit...

Justice 4 juli 2011 17:32

Als de hacker toegang had tot de broncode zou het toch ook geen probleem geweest hoeven te zijn om een nieuwe PGP signature te genereren? Bestaande gebruikers hebben al Chris's key maar nieuwe niet, ik weet niet precies hoe PGP werkt maar het advies "always check your keys" lijkt me niet voldoende voor nieuwe gebruikers, hoe weet ik dat de key van een vertrouwd persoon afkomstig is als het de eerste keer is dat ik met deze persoon kennismaak? Wellicht kan iemand dat uitleggen.

justinkb @Justice • 4 juli 2011 17:49

gpg sign-key, i.e. het web of trust idee. zie bijv. hier: http://cryptnet.net/fdp/c.../en/keysigning_party.html

arjankoole

Beveiliging

@Justice • 4 juli 2011 22:10

Als de hacker toegang had tot de broncode zou het toch ook geen probleem geweest hoeven te zijn om een nieuwe PGP signature te genereren?

Zo werkt het niet. Bij lange na niet. Een hacker kan onder normale omstandigheden niet zomaar een nieuwe GPG signature bakken voor zijn backdoor versie.

(daarom zijn die signatures ook zo belangerijk)

Bestaande gebruikers hebben al Chris's key maar nieuwe niet

Nee, bestaande gebruikers hebben hooguit zijn public key, niet zijn private key. Zonder private key is het onmogelijk een nieuwe signature te bouwen. (die je kunt verifieren met zijn public key).

highking 4 juli 2011 16:56

Lekker... niet niet zo heel lang geleden proftpd... nu vsftpd ook al!

Gelukkig dat vsftpd bij ons vrijwel altijd uit de redhat/centos repo's vandaan komt en niet handmatig is gedownload en gecompileerd, anders stond on nu een fijn klusje te wachten.

Verwijderd @highking • 4 juli 2011 19:38

Wie zegt dat die die backdoor niet zou hebben... ligt puur aan de versie en niet aan de distro repo!

daft_dutch @Verwijderd • 4 juli 2011 21:37

Doordat de ontwikkelaar bij het vrijgeven van zijn versie van een gpg-handtekening voor ziet. En een beetje Distro dat altijd controleert. Als je als Distro dit soort dingen in je repocitory laat sluipen dan hang je.

cyberstalker 4 juli 2011 16:59

Lijkt me dat dit in de meeste gevallen sowieso door de firewall tegengehouden zal worden. Kan me niet indenken waarom iemand die poort zomaar open zou zetten zonder goede reden.

Bartjezz @cyberstalker • 4 juli 2011 18:21

Zoals hierboven al werd uitgelegd, een uitgaande poort wordt (bijna) nooit tegengehouden door een firewall. Als je een request zend naar poort 21 krijg je via poort 6200 antwoord.

cyberstalker @Bartjezz • 4 juli 2011 18:33

Waar maak jij uit op dat het om een uitgaande poort gaat? Zoals ik het lees gaat het om het verbinding naar poort 6200.

guardian-spirit 5 juli 2011 00:23

Sorry dat ik het hier vraag, normaal hoort dat niet.
Ik ben pas begonnen met linux servers.

Ik heb de methode van "ChaoZero" geprobeerd in een ubuntu 10.04 virtualbox versie.
Ik zie niks gebeuren in de EERSTE terminal als ik in een andere terminal de volgende commando gebruik: open :)@111.222.333.444 (bij het password gedeelte [ENTER] ik)

Maar na het uitvoeren van de eerste commando "nc -l -p 6200" zie ik dat de commando wel uitgevoerd wordt, MAAR ik zie ook:
"Usage: nc [-46..... etc....." Ik zie de "-l" optie daar niet tussen staan...
Heb ik de test wel correct uitgevoerd...?

EDIT: @ jj71 , Ik was de MAN helemaal vergeten, het bleek de listen switch te zijn ik dacht al dat het zoiets moest zijn...thanks!

Ik heb VSFTPD geinstalleerd via: apt-get install vsftpd

(nogmaals sorry voor deze vraag van mij in deze thread)

[Reactie gewijzigd door guardian-spirit op 6 augustus 2024 11:10]

jj71 @guardian-spirit • 5 juli 2011 07:20

Je kunt met het "man" commando hulp krijgen over andere commando's. Probeer bijvoorbeeld eens: man nc

El_ByteMaster 4 juli 2011 17:08

// Dit is grappig bedoeld

Klopt... en ik weet bijna zeker dat Anonymous er achter zit:

Connected to ftp.myowntestserver.com
220 (vsFTPd 2.3.4)
530 Please login with USER and PASS.
KERBEROS_V4 rejected as an authentication type
Name (localhost:root): anonymous
331 Please specify the password.
Password:
230 Login successful.

Met user "Anonymous" kom je er gewoon in!

phosporus @El_ByteMaster • 4 juli 2011 18:48

Anonymous is een ¨standaard¨ inlog term die je kan aanzetten zodat iedereen er op kan aanmelden. In sommige ftp clients, wanneer je zonder gebruikersnaam of wachtwoord in logt, gaat ie dan automagisch proberen als Anonymoys in te loggen.

Verwijderd @phosporus • 4 juli 2011 21:25

Omg phosporus. Verander je nick in "sheldon".

moppentappers @phosporus • 4 juli 2011 20:55

Gezien het feit dat hij erbij zet dat het grappig bedoelt is neem ik aan dat hij dat ook weet.

El_ByteMaster @moppentappers • 5 juli 2011 02:21

Ja... expres bovenaan gezet. Het is vast een coder, die lezen geen //comments

BobbyDgtl @El_ByteMaster • 5 juli 2011 10:35

Die lezen geen wat?

sjongenelen @phosporus • 4 juli 2011 20:28

ik denk (en hoop) dat hij een grapje maakte

Verwijderd 4 juli 2011 17:31

de huidige versie de op de website staat bevat geen backdoor, ik vermoed dat de hosting provider gehacked was

tijs14tijs 5 juli 2011 00:21

Ik vind het een leuke grap, het is niet bedoelt voor macht, maar gewoon om te laten zien dat die oh zo veilige omgeving toch niet zo veilig was

Dat het een grap is dat lijkt mij logisch vanwege het feit dat geen gegevens zijn gejat of verwijderd. door de login

en de makkelijk te ontdekken backdoor vind ik dat dit niet gezien moet worden als (zware) strafbare cybercriminaliteit.

dusti @tijs14tijs • 5 juli 2011 11:09

Ofwel was het een goede poging om wat code in de sources te laten sluipen, in de hoop dat het niet opgemerkt zou worden.

Stel dat ze die code verder aangepast hadden zonder dat het opgemerkt werd, dat die wél een geldige key kreeg zat het nu in de repo's en dat kon veel meer schade toebrengen aan de gebruikers van vsftpd door het potentiele misbruik van deze backdoor.

Verwijderd 4 juli 2011 17:16

een beetje techneut gooit als het eerst alle poorten dicht die niet open hoeven te staan. heel erg groot probleem is dit ook weer niet.

Dreamvoid @Verwijderd • 4 juli 2011 17:20

Een beetje techneut misschien, maar bij bijna iedereen staat een UPnP router/modem thuis.

afraca @Dreamvoid • 4 juli 2011 17:32

En hoeveel van deze mensen draait een vsftpd deamon....

arjankoole

Beveiliging

@Dreamvoid • 4 juli 2011 17:32

Een beetje techneut misschien, maar bij bijna iedereen staat een UPnP router/modem thuis.

vsftpd is in de regel niet iets wat geinstalleerd kan worden door een niet-techneut

Zelfs als je uitgaat van gebruik van ubuntu/centos/redhat repositories. Bij een handmatige tarball/configure/make install is het al helemaal geen amateur die bezig is.

SinergyX @Dreamvoid • 4 juli 2011 17:31

Maar beetje router werkt toch ook op simpele principe 'alles blocken, enkel doorlaten wat in de NAT staat'? De 3 routers die ik hier heb staan werken allemaal zo, zelfs mijn hele oude Draytek (die maar 8mbit adsl aankon), werkte al met dit principe.

Dreamvoid @SinergyX • 4 juli 2011 17:36

Van buitenaf staat alles dicht ja, maar van binnenuit kunnen applicaties via UPnP poorten openen.

bzerk @Verwijderd • 5 juli 2011 09:33

een beetje techneut gooit als het eerst alle poorten dicht die niet open hoeven te staan

Poorten die niet open staan hoef je niet "dicht te gooien", want dat zijn ze immers al

Op dit item kan niet meer gereageerd worden.

Vsftpd-daemon bevatte backdoor

Lees meer

Reacties (75)

Sorteer op:

Weergave: