De stiekem toegevoegde inbraakmogelijkheid voor de ftp-server is drie dagen lang niet gedetecteerd. Iedereen die in die periode de open source-software heeft gedownload en geïnstalleerd, heeft automatisch een backdoor in zijn ftp-server gekregen. Dit geldt ook voor eventuele updates van ProFTPD. De kans op infectie via updates is echter relatief klein, aangezien de meest recente versie (1.3.3c) op 29 oktober is uitgebracht.

Broncode 'besmet'

De hackers zijn binnengekomen op de hoofd-ftp-server (ftp.proftpd.org) en hebben de broncode daar aangepast. Vervolgens is de 'besmette' software ook gedistribueerd naar alle mirror-servers van ProFTPD. De broncode met backdoor was aanwezig van 28 november tot 2 december, melden de makers van de open source-software.

Zij bieden excuses aan en dringen er bij gebruikers op aan dat die hun installaties controleren. De ontwikkelaars van ProFTPD reiken daarvoor PGP-handtekeningen en MD5-sums aan om de validiteit van de code te controleren. De backdoor geeft de hackers ongeautoriseerde volledige toegang op afstand (remote root) tot de ftp-server.

Gat staat nog open

Het gevaar is daarmee echter niet geweken. De hackers hebben de backdoor namelijk geïnstalleerd door gebruik te maken van een openstaand gat in ProFTPD. Die software doet natuurlijk ook dienst voor de hoofd-ftp-server van het open source-project zelf. Dat gat is nog niet gepatched, geven de ontwikkelaars zelf aan.

Bron: Webwereld

Bron: Techworld