Backdoor in FTP-Server ProFTPD

Unbekannte sind in den Projektserver des quelloffenen FTP-Servers ProFTPD eingedrungen und haben eine Backdoor im Programmcode versteckt. Durch die platzierte Hintertür erhalten die Angreifer vollen Zugriff auf Systeme, auf denen die modifizierte Version des Servers installiert wurde. Um den Tätern die Installation der verseuchten Version zu melden, kontaktiert der Server eine IP aus dem saudi-arabischen Raum. Nach Eingabe des Befehls "HELP ACIDBITCHEZ" präsentiert der kompromittierte Server seinem Gegenüber eine Root-Shell.

Pikanterweise nutzten die Täter für ihren Einbruch eine Zero-Day-Lücke in ProFTPD, das die Entwickler selbst für die Bereitstellungen der Quellen nutzten. Der Einbruch hat am 28. November stattgefunden und wurde am 1. Dezember entdeckt. Kurz darauf haben die Entwickler die Änderungen rückgängig gemacht. Da es sich um den Hauptserver des Projekts handelt, der über rsync auch die Mirrors speist, wurde der verseuchte Code vermutlich noch bis einschließlich heute auch über die offiziellen Spiegelserver ausgeliefert.

Ob man eine verseuchte Version des Quellcodes heruntergeladen hat, kann man anhand der MD5-Hashes und PGP-Signaturen feststellen. Zu der für den Einbruch auf den Projektserver genutzten Lücke haben die Entwickler unterdessen keine Angaben gemacht. Möglicherweise haben die Eindringlinge die nach wie vor ungepatchte Sicherheitslücke im SQL-Modul genutzt, auf die das Hackermagazin Phrack Mitte November aufmerksam gemacht hat. (rei)