[HaBo]

Tec · 10.10.02, 01:47

Wer sich in den letzten Tagen das Quellcode-Paket des freien Mailers Sendmail heruntergeladen hat, hat sich möglicherweise einen Trojaner eingehandelt.

Offenbar ist es um den 28. September herum einem Einbrecher gelungen, auf dem Server ftp.sendmail.org manipulierte Quellpakete zu hinterlegen. Diese tragen die Namen sendmail.8.12.6.tar.Z und sendmail.8.12.6.tar.gz. Dies wurde vom Sendmail-Entwicklerteam erst am 6. Oktober bemerkt, woraufhin der Server vom Netz genommen wurde. Jeder, der in dieser Zeit eines der Pakete heruntergeladen hat, ist dringend gehalten, die Unversehrtheit seines Paketes zu verifizieren. Dies kann mit PGP- oder MD5-Checksummen geschehen, die in der CERT- Alarmmeldung enthalten sind.

Den sauberen Quellcode kann man auch von http://www.sendmail.org/ beziehen.

Die manipulierte Version enthält eine Hintertür, die bereits bei der Compilierung der Quellen aktiv wird. Sie öffnet eine Verbindung auf Port 6667 (dem IRC-Port) zu einem bestimmten Rechner. Durch diesen kann der Angreifer auf den kompromittierten Rechner zugreifen und Befehle unter dem Account des Benutzers ausführen, der den Code compiliert hat. Nach einem Reboot des Rechners ist die Hintertür jedoch verschwunden.

Anzeige

- Anzeige -

10.10.02, 01:47	#1 (permalink)
Tec Senior Member Registriert seit: 02.10.01 Likes: 1	Trojanisches Pferd in Sendmail Anzeige Wer sich in den letzten Tagen das Quellcode-Paket des freien Mailers Sendmail heruntergeladen hat, hat sich möglicherweise einen Trojaner eingehandelt. Offenbar ist es um den 28. September herum einem Einbrecher gelungen, auf dem Server ftp.sendmail.org manipulierte Quellpakete zu hinterlegen. Diese tragen die Namen sendmail.8.12.6.tar.Z und sendmail.8.12.6.tar.gz. Dies wurde vom Sendmail-Entwicklerteam erst am 6. Oktober bemerkt, woraufhin der Server vom Netz genommen wurde. Jeder, der in dieser Zeit eines der Pakete heruntergeladen hat, ist dringend gehalten, die Unversehrtheit seines Paketes zu verifizieren. Dies kann mit PGP- oder MD5-Checksummen geschehen, die in der CERT- Alarmmeldung enthalten sind. Den sauberen Quellcode kann man auch von http://www.sendmail.org/ beziehen. Die manipulierte Version enthält eine Hintertür, die bereits bei der Compilierung der Quellen aktiv wird. Sie öffnet eine Verbindung auf Port 6667 (dem IRC-Port) zu einem bestimmten Rechner. Durch diesen kann der Angreifer auf den kompromittierten Rechner zugreifen und Befehle unter dem Account des Benutzers ausführen, der den Code compiliert hat. Nach einem Reboot des Rechners ist die Hintertür jedoch verschwunden.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
ICQ 5 und Trojanisches Pferd	-= pillepalle =-	Virenschutz · Tools & Aggressive Software	18	14.11.05 22:30
Trojanisches Pferdchen	S.t.r.i.k.e	Virenschutz · Tools & Aggressive Software	6	21.02.05 14:45
sendmail mit parametern	WhiteDragon	Linux/UNIX	6	26.12.04 19:35
sendmail Xploit	Stromer	Code Kitchen	4	04.09.04 11:23
sendmail exploit	Stromer	(In)security allgemein	4	14.02.04 21:28

[HaBo]

Trojanisches Pferd in Sendmail