2002/08/01 [木]
安全な、遠隔 shell 実行ツールとして広く ftp://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/ などから配布、使用されている OpenSSH-3.4p1 にバックドアが仕組まれているものがあることが判明しました。正常な openssh-3.4p1.tar.gz は、
MD5 (openssh-3.4p1.tar.gz) = 459c1d0262e939d6432f193c7a4ba8a8
ですが、バックドア (trojan) が含まれているのは、
MD5 (openssh-3.4p1.tar.gz) = 3ac9bc346d736b4a51d676faa2a08a57
です。バックドアは、libopenbsd-compat.a を作成するときに、生成実行されます。実行されると、Australian Internet Solutions Pty Ltd 管轄の 203.62.158.32:6667 に接続し、コマンド文字を一文字読みます。そしてそれが 'D' の場合、/bin/sh を実行して外部から自由に実行できるようにしています。
ちなみに、ftp.openbsd.org は sunsite.ualberta.ca の別名で、ualberta.ca は、カナダの Alberta 大学を意味しています。
参考: freebsd-security: openssh-3.4p1.tar.gz trojaned
追記: 3.4p1 だけではなく、3.2.2p1 や 3.4 も汚染されている可能性があるようです。
MD5 (openssh-3.4p1.tar.gz) = 459c1d0262e939d6432f193c7a4ba8a8
ですが、バックドア (trojan) が含まれているのは、
MD5 (openssh-3.4p1.tar.gz) = 3ac9bc346d736b4a51d676faa2a08a57
です。バックドアは、libopenbsd-compat.a を作成するときに、生成実行されます。実行されると、Australian Internet Solutions Pty Ltd 管轄の 203.62.158.32:6667 に接続し、コマンド文字を一文字読みます。そしてそれが 'D' の場合、/bin/sh を実行して外部から自由に実行できるようにしています。
ちなみに、ftp.openbsd.org は sunsite.ualberta.ca の別名で、ualberta.ca は、カナダの Alberta 大学を意味しています。
参考: freebsd-security: openssh-3.4p1.tar.gz trojaned
追記: 3.4p1 だけではなく、3.2.2p1 や 3.4 も汚染されている可能性があるようです。
by seclan