Backdoor no servidor ProFTPD
Se você instalou um servidor ProFTPD a partir do código disponibilizado no site oficial ou seus mirrors, entre o dia 28 de novembro e ontem, atenção: você precisa verificar se sua versão estava comprometida e, se for o caso, desinstalar ou atualizar.
Crackers invadiram o servidor oficial do ProFTPD (usando para isso uma vulnerabilidade do próprio ProFTPD…) e inseriram um backdoor no servidor no último dia 28. Servidores onde a versão comprometida tenha sido instalada enviam automaticamente uma mensagem a um endereço IP no Oriente Médio ao ser ativados e, ao ser acessados, permitem que seus usuários tenham acesso a uma shell de root ao digitar o comando HELP ACIDBITCHEZ.
Os desenvolvedores do ProFTPD não revelaram detalhes sobre a falha que permitiu a invasão original ao seu servidor. (via h-online.com)
@brlinuxblog
Feed RSS
Que pessoal abusado! Não se contentaram com a falha do próprio programa e ainda colocaram outra?!?!? Acho que antigamente o pessoal implantaria o backdoor mas consertaria a falha (tudo bem que era para que outros não se aproveitassem e só eles pudessem ter acesso, mas não deixa de ser uma boa ação).
Eu uso SSH/SCP/SFTP e disponibilizo arquivos usando um servidor web, mas faltaria uma forma fácil de deixar algumas pessoas que acessam via web fazer upload e outras operações sobre os arquivos. Qual o programa que se está usando para fazer esse papel?
O próprio Apache tem um módulo para upload (mod_upload) usado em formulários. Tem alguma coisa feita em PHP/Python/Perl, mas nunca testei.
O proftpd já pisou na bola algumas vezes na parte de segurança.
Apesar de ser bastante configurável e já ter usado durante muito tempo, recentemente migrei para o vsftpd e, além de ter um histórico de segurança melhor, parece ser mais rápido.