Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 75 reacties
Submitter: himlims_

De ontwikkelaar van ftp-server Vsftpd heeft laten weten dat op zijn website korte tijd een versie stond die een backdoor bevatte. Het is nog onduidelijk hoe de desbetreffende binary op zijn website is gekomen en wie deze daar heeft geplaatst.

Vsftpd-ontwikkelaar Chris Evans schrijft op zijn blog dat hij een waarschuwing had ontvangen dat op de Vsftpd-site een tarball was aangetroffen die niet overeenkwam met de gpg-handtekening. Bij nader onderzoek bleek vsftpd-2.3.4.tar.gz, bedoeld voor Linux-systemen, een backdoor te bevatten. Een gebruiker die inlogt met gebruikersnaam ':)' op poort 6200, zou toegang krijgen tot een shell.

Hoe de gemanipuleerde Vsftpd-versie op de officiële website van de ftp-daemon is terechtgekomen, is onduidelijk. De software wordt door de ontwikkelaar gepromoot als 'zeer veilig'. Evans spreekt echter het vermoeden uit dat er kattenkwaad in het spel is; niet alleen wordt de backdoor nauwelijks verhuld, ook zou de ftp-daemon niet actief aan de buitenwereld kenbaar maken dat deze een achterdeur bevat. Desondanks heeft Evans besloten om zijn code voorlopig te hosten op Appspot.

Moderatie-faq Wijzig weergave

Reacties (75)

Werkt dus alleen als er open toegang tot internet is zo te zien? 6200 is een beetje een random iets om open te hebben als je alleen een FTP server toegankelijk wil maken.
Het nieuwsbericht klopt niet. Bij het invoeren van ":)" als gebruikersnaam maakt de FTP server zelf connectie op poort 6200 met het IP van de aanvaller. Aangezien de meeste hosts geen uitgaande verbindingen firewallen ben je dus over het algemeen gewoon vatbaar voor deze backdoor.

De aanvaller heeft gewoon een servertje draaien waarmee commando's aan die shell worden gestuurd.

Edit: Ten tijde van deze reactie was pastebin down met daarin de code van deze backdoor. Het blijkt dat bij het invoeren van ":)" als username een servertje op poort 6200 wordt opengezet waarbij stdin, stdout en stderr worden gesloten en vervolgens verbonden aan /bin/sh. Elke connectie op die poort resulteert vervolgens in een volledig bruikbare shell.

[Reactie gewijzigd door _JGC_ op 4 juli 2011 18:57]

Ik draai ook 2.3.4. De laatste versie voor Gentoo Linux (uit de repository). Hoe weet ik nu of ik vatbaar ben? Dit baart me toch wel zorgen, erg slordig dit.
Niet zo heel lastig...

Open op een willekeurige linux-bak een terminal en doe:
nc -l -p 6200
(edit: poort 6200 moet op die (aanvallende) bak wel benaderbaar zijn natuurlijk!)
vervolgens in een nieuwe terminal:
ftp :)@ipvanjouwserver

Als je in de eerste terminal dan iets te zien krijgt ben je vatbaar.
Zo niet, wordt er geen verbinding gemaakt met de aanvaller op poort 6200 en heb jij geen last van deze backdoor.

[Reactie gewijzigd door ChaoZero op 4 juli 2011 22:32]

Niet zo heel lastig...

Open op een willekeurige linux-bak een terminal en doe:
Werkt even goed in een dos-boxje. Niet iedereen heeft een Linux machine tot zijn beschikking namelijk.

c:\> ftp :)@ipadres:6200

[Reactie gewijzigd door Gepetto op 5 juli 2011 15:01]

Maar wat jij zegt nou net niet.

Je moet een reguliere FTP sessie opzetten begrijp ik (op poort 21), dan verbind vsftpd naar jouw eigen IP (het attacker-IP) op poort 6200. Daar moet je dus zelf luisteren op poort 6200.
Bijvoorbeeld via netcat.

Hoe je dat onder Windows voor elkaar krijgt weet ik niet, niet iedereen heeft een Windows machine tot zijn beschikking;).
Kwestie van geduld. ;)
Het is voor een geinfecteerde vsftpd natuurlijk een koud kunstje om 6200 via UPnP te openen.
Je hebt gelijk. Al lijkt me dat op zakelijke hardware niet van toepassing. Dus erg grote data diefstallen hoeven we niet direct op te wachten.

[Reactie gewijzigd door Alpha Bootis op 4 juli 2011 17:37]

En welke doelwitten hebben dan UPnP ingesteld?

Het is leuk voor thuisnetwerken, maar niet meer dan dat...
ach, ik ken genoeg mensen die gewoon alle poorten open zetten in hun router, anders moeten ze met games steeds poorten toevoegen xD
Heb de laatste jaren nog nooit een port foward voor een game hoeven maken. Dus argument valt wel mee :)
misschien staan al je poorten dan al open :p
of wellicht gewoon 'enable uPnP' aangevinkt? jemig mensen, dat is hiervoor gemaakt, en werkt ondertussen heel behoorlijk :)
volledig offtopic, maar BFBC2 crashte daar toch op?
[offtopic] heb ik problemen mee -> experia box

jammer stukje software zit er in dat ding.. [offtopic]
Een fatsoenlijk modem kopen lost het waarschijnlijk wel op.
poog jij maar eens sip instellingen van kpn los te trommelen. wish you luck.
Via upnp is dat volgens mij ook niet meer nodig?
Uhm je hoeft normaliter voor een game (client applicatie) geen poorten te forwarden.
Voor bepaalde media initiatie, torrent (specifieke clients) en services wel.
En jij durft dit met droge ogen hier op tweakers te verkondigen? Op zijn minst zou ik hierbij een opmerking verwachten dat je ze hebt aangeraden / aangeboden hun modem goed in te stellen. Nu komt het wel heel kiddie over.
Ik verlang terug naar de tijd dat ik nog gewoon 1 computer op het internet aangesloten heb. Een firewall is zoiets als een gracht om je tuin graven omdat je misschien het raam niet dicht hebt gedaan. Iemand die software op je computer kan installeren om naar poort 6200 te luisteren kan ook naar meer reguliere poorten luisteren, daar doet een firewall vrij weinig aan.
Toch kan je dat heel lang overleven, zolang je je computer maar van een goede firewall voorziet. Of je dat ook echt moet willen, is inderdaad een ander verhaal. Overigens betekent "alles openzetten" in principe ook maar dat je met 1 enkele computer aan het internet hangt.
Och ik heb het bewust wel gedaan bij gebrek aan een bridge mode op m'n UPC router en zie even niet wat daar zo 'kiddie' aan is? Natuurlijk draait er wel een firewall en ditto aanvullende beveiligingssoftware op m'n homebrew server.

OT ftp is natuurlijk wel een verouderd onveilig protocol en per definitie nooit "very secure" :+
Nou, ik heb alle poorten open. Heel naef moet ik toegeven, want ik weet niet alle consequenties hiervan..
Om even helemaal terug te gaan naar hier ergens boven...

pgp/gpg whatever handtekening zeg me niks, ik kan me indenken dat het een of ander veiligheidscertificaat is. Maar ben ik daarom nu een sukkel?
een Tarball zegt me ook weinig... kan me voorstellen dat het een soort zip bestand zou kunnen zijn. Ben ik nu meteen een achterlijke?

Ja ik ben het eens dat van tweakers verwacht wordt dat ze wel wat kennis in huis hebben... maar als een artikel over unix based OS' en gaat, kun je dan van een windowspersoon verwachten wat allerhande terminologie voor staat?
Of omgekeerd? (ok kans daarop is groter)...

Als ik hier een heel moeilijk verhaal af ga steken over netwerken en fibre switching etc dan zal ook 90% af gaan haken omdat ze dr geen kokosnoot van snappen?

Beetje kort door de bocht jongens :/ of doen we tegenwoordig allemaal aan rallyrijden? :+
Dit artikel gaat over een Unix based stukje software. Dan ga je inderdaad over tarballs en (open)PGP praten. Dat sommige mensen die kennis niet hebben wil nog niet zeggen dat Tweakers.net niet een technisch artikel mag schrijven aangezien alles wat er in staat relevant is voor de gebruikers van vsftpd.

Dit zie je ook bij de ontwikkelingen van bijvoorbeeld grafeen. Die artikelen vragen ook een beetje kennis wil je het 100% begrijpen.

Ik zou graag zien dat dit niveau van gevraagde technische kennis vaker nodig was. Maakt het toch interessanter.
Helemaal mee eens. Er zijn veel verschillende mensen met allemaal verschillende achtergronden en het is onmogelijk om over alles genoeg kennis te hebben. Tevens zijn er ook personen die nog jong/onervaren zijn en deze kunnen ook wel wat uitleg gebruiken om zo iets bij te leren.

Natuurlijk kan ik dergelijke termen wel ff googlen en kom ik er waarschijnlijk redelijk snel achter. Maar er van uit gaan dat iedereen dergelijke terminologie weet, lijkt mij een slechte zaak. Mocht deze vraag dan komen kan deze beter op een normale manier beantwoord worden.
Ik denk dat je dat anders moet zien.
Er zijn zoveel verschillende artikelen,sommige interesant voor je,en andere weer niet.
Het lijken mij redelijk standaard termen,hoewel ik ze in 1st instantie ook niet kon plaatsen.
De doelgroep van dit artikel is welicht anders.En dat moet kunnen.
Een ander artikel dat over games gaat bijvoorbeeld is waarschijnlijk meer op anderen gedoeld,en dan zijn deze mensen weer minder in geintereseerd.
En een beetje technische aanleg,gewoon het vermogen om iets te snappen mag wel verwacht worden van lezers.
Het is geen site .s.m "knoop in je zakdoek "ofzo.

Hoewel ik in het artikel dingen tegen kom die ik niet weet,is de algehele strekking wel duidelijk.
En dat vind ik best interesant om te lezen,hoewel ik er waarschijnlijk nooit iets mee van doen zal hebben.
Je bent geen achterlijke, want dat een tarball een soort zipbestand is had je in 1 keer goed geraden of gegoogeld.

Dat een paar specifieke jargonbegrippen misschien wel een onmouseover zouden behoeven, zoals hier wel gebruikelijk is voor de iets minder technische tweakers (kan dat dan?), daar zit wel wat in.
Maar dan wil ik ook dat mij quantum computer artikelen een keer deugdelijk uitgelegd worden! ;)

verder: /care dat iemand niet wil googlen
Pretty Good Privacy (PGP) was al sinds het begin in 1991 beschikbaar voor DOS en even later Windows, dus zelfs Windows-gebruikers hebben tijd genoeg gehad om het te leren kennen.

Ik gok dat sommige "tweakers" hier toen nog niet eens geboren waren... ;)

PS: een echte tweaker is (of blijft) uiteraard geen exclusieve "Windows-persoon", maar probeert af en toe ook eens wat anders uit...
Als de hacker toegang had tot de broncode zou het toch ook geen probleem geweest hoeven te zijn om een nieuwe PGP signature te genereren? Bestaande gebruikers hebben al Chris's key maar nieuwe niet, ik weet niet precies hoe PGP werkt maar het advies "always check your keys" lijkt me niet voldoende voor nieuwe gebruikers, hoe weet ik dat de key van een vertrouwd persoon afkomstig is als het de eerste keer is dat ik met deze persoon kennismaak? Wellicht kan iemand dat uitleggen.
gpg sign-key, i.e. het web of trust idee. zie bijv. hier: http://cryptnet.net/fdp/c.../en/keysigning_party.html
Als de hacker toegang had tot de broncode zou het toch ook geen probleem geweest hoeven te zijn om een nieuwe PGP signature te genereren?
Zo werkt het niet. Bij lange na niet. Een hacker kan onder normale omstandigheden niet zomaar een nieuwe GPG signature bakken voor zijn backdoor versie.

(daarom zijn die signatures ook zo belangerijk)
Bestaande gebruikers hebben al Chris's key maar nieuwe niet
Nee, bestaande gebruikers hebben hooguit zijn public key, niet zijn private key. Zonder private key is het onmogelijk een nieuwe signature te bouwen. (die je kunt verifieren met zijn public key).
Lekker... niet niet zo heel lang geleden proftpd... nu vsftpd ook al!

Gelukkig dat vsftpd bij ons vrijwel altijd uit de redhat/centos repo's vandaan komt en niet handmatig is gedownload en gecompileerd, anders stond on nu een fijn klusje te wachten.
Wie zegt dat die die backdoor niet zou hebben... ligt puur aan de versie en niet aan de distro repo!
Doordat de ontwikkelaar bij het vrijgeven van zijn versie van een gpg-handtekening voor ziet. En een beetje Distro dat altijd controleert. Als je als Distro dit soort dingen in je repocitory laat sluipen dan hang je.
Lijkt me dat dit in de meeste gevallen sowieso door de firewall tegengehouden zal worden. Kan me niet indenken waarom iemand die poort zomaar open zou zetten zonder goede reden.
Zoals hierboven al werd uitgelegd, een uitgaande poort wordt (bijna) nooit tegengehouden door een firewall. Als je een request zend naar poort 21 krijg je via poort 6200 antwoord.
Waar maak jij uit op dat het om een uitgaande poort gaat? Zoals ik het lees gaat het om het verbinding naar poort 6200.
Sorry dat ik het hier vraag, normaal hoort dat niet.
Ik ben pas begonnen met linux servers.

Ik heb de methode van "ChaoZero" geprobeerd in een ubuntu 10.04 virtualbox versie.
Ik zie niks gebeuren in de EERSTE terminal als ik in een andere terminal de volgende commando gebruik: open :)@111.222.333.444 (bij het password gedeelte [ENTER] ik)

Maar na het uitvoeren van de eerste commando "nc -l -p 6200" zie ik dat de commando wel uitgevoerd wordt, MAAR ik zie ook:
"Usage: nc [-46..... etc....." Ik zie de "-l" optie daar niet tussen staan...
Heb ik de test wel correct uitgevoerd...?

EDIT: @ jj71 , Ik was de MAN helemaal vergeten, het bleek de listen switch te zijn ik dacht al dat het zoiets moest zijn...thanks!


Ik heb VSFTPD geinstalleerd via: apt-get install vsftpd

(nogmaals sorry voor deze vraag van mij in deze thread)

[Reactie gewijzigd door guardian-spirit op 5 juli 2011 07:55]

Je kunt met het "man" commando hulp krijgen over andere commando's. Probeer bijvoorbeeld eens: man nc
// Dit is grappig bedoeld

Klopt... en ik weet bijna zeker dat Anonymous er achter zit:
Connected to ftp.myowntestserver.com
220 (vsFTPd 2.3.4)
530 Please login with USER and PASS.
KERBEROS_V4 rejected as an authentication type
Name (localhost:root): anonymous
331 Please specify the password.
Password:
230 Login successful.
Met user "Anonymous" kom je er gewoon in!
Anonymous is een ¨standaard¨ inlog term die je kan aanzetten zodat iedereen er op kan aanmelden. In sommige ftp clients, wanneer je zonder gebruikersnaam of wachtwoord in logt, gaat ie dan automagisch proberen als Anonymoys in te loggen.
Omg phosporus. Verander je nick in "sheldon". :+
Gezien het feit dat hij erbij zet dat het grappig bedoelt is neem ik aan dat hij dat ook weet.
Ja... expres bovenaan gezet. Het is vast een coder, die lezen geen //comments :)
Die lezen geen wat?
ik denk (en hoop) dat hij een grapje maakte
de huidige versie de op de website staat bevat geen backdoor, ik vermoed dat de hosting provider gehacked was
Ik vind het een leuke grap, het is niet bedoelt voor macht, maar gewoon om te laten zien dat die oh zo veilige omgeving toch niet zo veilig was :p

Dat het een grap is dat lijkt mij logisch vanwege het feit dat geen gegevens zijn gejat of verwijderd. door de login :) en de makkelijk te ontdekken backdoor vind ik dat dit niet gezien moet worden als (zware) strafbare cybercriminaliteit.
Ofwel was het een goede poging om wat code in de sources te laten sluipen, in de hoop dat het niet opgemerkt zou worden.

Stel dat ze die code verder aangepast hadden zonder dat het opgemerkt werd, dat die wl een geldige key kreeg zat het nu in de repo's en dat kon veel meer schade toebrengen aan de gebruikers van vsftpd door het potentiele misbruik van deze backdoor.
een beetje techneut gooit als het eerst alle poorten dicht die niet open hoeven te staan. heel erg groot probleem is dit ook weer niet.
Een beetje techneut misschien, maar bij bijna iedereen staat een UPnP router/modem thuis.
En hoeveel van deze mensen draait een vsftpd deamon....
Een beetje techneut misschien, maar bij bijna iedereen staat een UPnP router/modem thuis.
vsftpd is in de regel niet iets wat geinstalleerd kan worden door een niet-techneut ;)

Zelfs als je uitgaat van gebruik van ubuntu/centos/redhat repositories. Bij een handmatige tarball/configure/make install is het al helemaal geen amateur die bezig is.
Maar beetje router werkt toch ook op simpele principe 'alles blocken, enkel doorlaten wat in de NAT staat'? De 3 routers die ik hier heb staan werken allemaal zo, zelfs mijn hele oude Draytek (die maar 8mbit adsl aankon), werkte al met dit principe.
Van buitenaf staat alles dicht ja, maar van binnenuit kunnen applicaties via UPnP poorten openen.
een beetje techneut gooit als het eerst alle poorten dicht die niet open hoeven te staan

Poorten die niet open staan hoef je niet "dicht te gooien", want dat zijn ze immers al :o

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True