PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Trojaner als Sendemail


saida
09-10-2002, 10:32
Trojaner in Sendmail



Das Computer Emergency Response Team (CERT) warnte gestern vor dem Einsatz einer Sendmail-Distribution, in die Hacker eine Hintertür integriert haben. Betroffen sind die Sourcecode-Pakete sendmail.8.12.6.tar.Z und sendmail.8.12.6.tar.gz, die ab September vom FTP-Server des Sendmail-Programmierteams bezogen werden konnten. Ein Angreifer hatte sich Ende des letzten Monats Zugang zu dem System verschafft und die vorhandenen Versionen manipuliert.

Beim Einsatz der manipulierten Quellen startet das Trojanische Pferd während des Kompilier-Vorgangs einen Prozess, der über den TCP-Port 6667 Verbindungen zu einer voreingestellten Adresse aufbaut. Von dort aus hat der Angreifer die Möglichkeit, eine Shell vom infizierten Rechner zu erhalten. Dabei kann er den kompilierenden User-Account nutzen. Die Ausführung der fertig übersetzten Software soll nach Angaben des CERT jedoch nicht zur Ausführung des Prozesses auf dem jeweiligen System führen.

Die Security-Organisation empfiehlt als Schutz vor solchen Fallen, Software beim Download durch Prüfung der MD5-Checksumme und PGP-Fingerprints auf ihre Authentizität zu prüfen. Die korrekten Zertifikate veröffentlichte das CERT in seinem Advisory zu dem Vorfall. (ck)

quelle: de.internet.com

PC-Oldie-Udo
09-10-2002, 10:34
hmmmm,mal was anderes :flop:

PC-Oldie-Udo
10-10-2002, 20:19
Hacker schleust Trojaner in Sendmail ein
von xylen für WinFuture.de
09. Oktober 2002


CERT/CC warnt vor Backdoor


Das CERT Coordination Center warnt vor einem Trojaner im Source-Code im Message Transfer Agent (MTA) Sendmail. Der Trojaner erzeugt ein Backdoor, sobald das Programm aus dem Source-Code kompiliert wird. Nach den Informationen von CERT/CC soll ein Angreifer um den 28. September den Trojaner in den Source-Code von Sendmail eingefügt haben. Das Entwicklerteam von Sendmail wurde am 6. Oktober auf den Vorfall aufmerksam und legte den betroffen FTP-Server still.

http://www.cert.org/advisories/CA-2002-28.html

Der Trojaner versucht über den TCP-Port 6667 eine Verbindung zu einem bestimmten Server aufzubauen. Dieser Prozess erlaubt es dem Angreifer eine Shell auf dem System, auf dem Sendmail kompiliert wird, mit den selben Rechten wie der User zu öffnen. Dabei wird ein Tunnel aufgebaut, der dem Angreifer auch einen Zugriff auf ein System hinter einer Firewall ermöglichen kann.

"Wenn sie die Sendmail-Distribution herunterladen, müssen sie die PGP-Signatur verifizieren", warnen die Sendmail-Entwickler auf ihrer Homepage http://www.sendmail.org . "Verwenden sie Sendmail nicht, ohne vorher die Integrität des Codes zu überprüfen." Von dem Vorfall war nach Darstellung von CERT/CC nur die Distribution auf dem FTP-Server betroffen. Bei Downloads via HTTP war der Trojaner dagegen nicht im Code enthalten. Trotzdem werden alle User, die sich zwischen dem 28. September und dem 6. Oktober den Code heruntergeladen haben, aufgefordert ihren Code zu überprüfen. Sendmail ist einer der am häufigsten verwendeten MTAs im Internet. Die Software wird dazu verwendet E-Mails zwischen den Mail-Servern weiterzuleiten.
http://www.winfuture.de/web/index.php?inhalt=run/news/news.showem.php&ID=6329