De stiekem toegevoegde inbraakmogelijkheid voor de ftp-server is drie dagen lang niet gedetecteerd. Iedereen die in die periode de open source-software heeft gedownload en geïnstalleerd, heeft automatisch een backdoor in zijn ftp-server gekregen. Dit geldt ook voor eventuele updates van ProFTPD. De kans op infectie via updates is echter relatief klein, aangezien de meest recente versie (1.3.3c) op 29 oktober is uitgebracht.

Broncode 'besmet'

De hackers zijn binnengekomen op de hoofd-ftp-server (ftp.proftpd.org) en hebben de broncode daar aangepast. Vervolgens is de 'besmette' software ook gedistribueerd naar alle mirror-servers van ProFTPD. De broncode met backdoor was aanwezig van 28 november tot 2 december, melden de makers van de open source-software.

Zij bieden excuses aan en dringen er bij gebruikers op aan dat die hun installaties controleren. De ontwikkelaars van ProFTPD reiken daarvoor PGP-handtekeningen en MD5-sums aan om de validiteit van de code te controleren. De backdoor geeft de hackers ongeautoriseerd volledige toegang op afstand (remote root) tot de ftp-server.

Gat staat nog open

Maar het gevaar is nog niet geweken. De hackers hebben de backdoor namelijk geïnstalleerd door gebruik te maken van een openstaand gat in ProFTPD. Die software doet natuurlijk ook dienst op de hoofd-ftp-server van het open source-project zelf. Dat gat is nog niet gepatched, geven de ontwikkelaars zelf aan.