Опасность: исходники tcpdump и libpcap могут содержать троянца
Всего месяц тому назад мы сообщали о компьютерной атаке на сайт Sendmail и вот новое нападение. На этот раз жертвой неизвестных злоумышленников стал сайт www. tcpdump.org, распространяющий утилиты tcpdump и libpcap, в исходный код которых оказался имплантированным вредоносный троянский код.
Вторжение на сервер было осуществлено в 9-10 ноября, скорее всего из Финляндии. Проблема с исходниками дистрибутивов оставалась незамеченной в течение более двух суток, и только к вечеру среды, 13 ноября, сервер был остановлен для предотвращения дальнейшего распространения зараженных троянцем копий. Однако, это лишь в некоторой мере смогло остановить распространение инфицированных копий дистрибутивов, т.к. некоторые сайты, в силу существующей практики зеркалирования, уже успели загрузить зараженные пакеты с основного сервера. Число их в настоящее время неустановлено, известно лишь, что некоторые вендоры уже подтвердили наличие на их сайтах аналогичным образом зараженных копий.
13 ноября 2002 г. координационный центр Computer Emergency Response Team (CERT/CC) при Университете Carnegie Mellon распространил заявление, в котором содержится предупреждение об обнаружении в некоторых версиях утилит tcpdump и libpcap троянского компонента. Изменения были внесены в исходный код данных программ, и, начиная с утра 11 ноября, в исходниках на сайте www. tcpdump.org содержалась троянская программа – шпион.
Модификации были подвергнуты следующие дистрибутивы
tcpdump
md5sum 3a1c2dd3471486f9c7df87029bf2f1e9 tcpdump-3.6.2.tar.gz md5sum 3c410d8434e63fb3931fe77328e4dd88 tcpdump-3.7.1.tar.gzlibpcap
md5sum 73ba7af963aff7c9e23fa1308a793dca libpcap-0.7.1.tar.gzTcpdump - утилита, используемая операционными системами Unix для мониторинга, или, другими словами, сниффинга, пассивного прослушивания в сети данных. Libpcap является библиотекой, которая помогает программистам писать программы для перехвата данных в сети на различных платформах.
Зараженная троянцем версия исходного текста tcpdump содержит вредоносный код, который приводится в действие при компилировании программы. Будучи активированным, троянец предпринимает попытки установить соединение с портом 80/tcp (через wget, lynx или fetch) для последующей загрузки shell - скрипта под названием services, который в последствии запускается и генерирует файл conftes.c, который компилируется и запускается на пораженной машине. После запуска conftes.c устанавливает соединение в определенным IP-адресом через порт 1963/tcp и считывает с него один единственный байт, три значения которого обуславливают исполнение троянцем различных команд:
Для того, чтобы обезопасить себя от загрузки возможно зараженных версий дистрибутивов, ЗАО "ДиалогНаука" настоятельно советует пользователям загрузить гарантированно неинфицированные троянцем версии программ с рекомендуемых разработчиком сайтов:
http://sourceforge.net/projects/tcpdump/
http://sourceforge.net/projects/libpcap/
Так как размера загруженного файла и времени его загрузки недостаточно для того, чтобы быть абсолютно уверенным в получении чистой копии программы, проверьте криптографическую PGP - подпись программ. При отсутствии PGP - подписи целостность программы можно проверить с помощью контрольной суммы MD5.
tcpdump
md5sum 03e5eac68c65b7e6ce8da03b0b0b225e tcpdump-3.7.1.tar.gz
libpcap
md5sum 0597c23e3496a5c108097b2a0f1bd0c7 libpcap-0.7.1.tar.gz