火曜日, 6月 15, 2010

IRCサーバパッケージのバックドア

「UnrealIRCサーバ」有名なチャットサーバのパッケージにバックドアコードが入ってしまいました。色んなソースを確認したら原因は管理者のFTP権限が取られ、ダウンロードページにあるオリジナルパッケージ(Unreal3.2.8.1.tar.gz )をマルウェアパッケージに交換されたようです。オリジナルコードがマルウェアコードに変更されております。
バックドアの動きは単純ですがある特別なIRCコマンドを実行したらシステムコマンドを実行する事が出来ます。
本問題は先週末に管理者が発見されて、オリジナルパッケージは8ヶ月前にリリースされました。確かにMD5情報はダウンロードページに何処でも書いて無かった。
マルウェアコードのsnapshotは下記の画像です(credit: costin raiu)

下記はリファレンス↓
http://www.unrealircd.com/
http://forums.unrealircd.com/viewtopic.php?t=6562
---
http://0day.jp
セキュリティチーム

0 件のコメント:

コメントを投稿