18:31
25/9/2012

Znaleziono backdoora w kodzie phpMyAdmin hostowanym na jednym z mirrorów na SourceForge. Backdoor został dodany do pliku server_sync.php, który nasłuchuje na żądania POST a następnie je wykonuje.

phpmyadmin backdoor

phpmyadmin backdoor

Zespół SourceForge wciąż próbuje ustalić, jak doszło do zamiany pliku: czy na skutek włamania do SourceForge (wtedy zagrożone mogą być także inne projekty tam hostowane) czy może plik z backdoorem został wgrany przez developera (świadomie bądź nie). Nie wiadomo też ile osób pobrało feralną wersję phpMyAdmina (pierwsze szacunki mówia o 400 osobach).

Do metasploita już dodano moduł, który wykrywa zbackdoorowane wersje phpMyAdmina na serwerach.

Aktualizacja
Z racji popularności tego artykułu na naszym linkblogu *ptr (dostępny na prawej stronie bloga oraz poprzez dedykowany, osobny kanał RSS), temat został przeniesiony na główną Niebezpiecznika.

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

20 komentarzy

Dodaj komentarz
  1. Za niedługo strach będzie lodówkę otworzyć, bo tam a nuż, backdoor.

    • Ja tam mam backdoora w kotłowni :D

    • a taki backdoor w lodówce to MASAKRA! całe jedzenie mogą wynieść z domu!

    • i wyjście z lodówki przez Narnię

    • Zmęczony backdor w lodówce? Co ty nie powiesz.

    • Backdoor to mi z ręki jadł.

    • Otwierasz lodówkę a tam od tyłu są drugie drzwi a w nich sąsiad sięgajacy po twojego browara, taki backdoor ;p

  2. God damned! Ostatnio ściągałem! O tej godzinie mam pracować? Dobrze, że serwis z phpMyAdmin ograniczyłem do określonej puli adresów IP. Przezorny zawsze ubezpieczony :)

  3. Jakieś MD5 do sprawdzenia?

    • Aha, jeśli istnieje to wiedz, że coś się dzieje.

  4. U mnie w wersji 3.5.2(.2) ten plik w ogóle nie istnieje… chodzi o wersje testing? czy ten plik jest tylko w podmienionej paczce?

    • czytałeś fragment w którym piszą, że paczka z backdoorem znajdowała się na jednym z mirrorów sf?

    • Czytałem…. W artykule masz napisane “Backdoor został dodany do pliku server_sync.php” Z tego wynika ze plik server_sync.php istnieje w niezainfekowanej wersji i do niego został _dopisany_ backdoor. Gdyby było napisane “Backdoor znajduje się w dodanym pliku server_sync.php” było by jasne że ten plik znajduje się TYLKO w podmienionej paczce.

    • Nie, nie wynika, bo plik masz pusty, jedynie nasłuch PORT jest

  5. Sprawdzone w 3 miejscach, pliku nie ma.
    Ciekawe właśnie, czy to tylko testing/RC (wczoraj lub przedwczoraj informowali o nowej wersji), czy jednak po pewnym czasie poszło do stable.

  6. ktos tego uzywa jeszcze? adminer albo sqlbuddy zamiast tej kobyłki

    • Ja np. łączę się emacsem przez sendmail. Tylko trzeba było skonfigurować VPN, aby ominąć potrójną ścianę ogniową. Na szczęście emacs ma całkiem dobry klient OpenVPN (C-x M-c vpn)… w sumie ma wszystko, jedynie dobrego edytora tekstu mu brakuje.

    • To w emacsie nie da sie uruchomic vima? O.O

  7. Uzywa wiecej ludzi niz mogloby sie Ci wydawac. ;)

  8. Zmodyfikowany plik ściągnięto niecały 1000 razy, mirror wyłączony z poola. Ale mogło być dużo gorzej.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: