Een hacker heeft een backdoor in Very Secure FTP Daemon (vsftpd) te weten verstoppen. De backdoor zat in de broncode van de software die op de officiële website werd aangeboden. Waarschijnlijk is de aanvaller dus binnengedrongen op die webserver. Dat heeft hoofdontwikkelaar Chris Evans, ook teamleider van Google Chrome, bevestigd.

Backdoor bij smiley

De maker van “waarschijnlijk de veiligste en snelste ftp-server voor Unix-achtige systemen" werd zondag gewaarschuwd dat de tarball op de website van vsftpd een ongeldige GPG-handtekening had. Dat maakt duidelijk dat er gerommeld is met het originele bestand. Het is niet bekend hoe lang de code met achterdeur online heeft gestaan.

Techsite The H meldt dat de broncode in het kwaadaardige archief een backdoor bevatte die reageert zodra een gebruiker op de ftp-server inlogt met een smiley (:)) als gebruikersnaam. Er wordt dan op tcp poort 6200 geluisterd voor een verbinding, zodra er iemand verbinding maakt start de vervuilde bron ook een shell.

Voor de lulz?

Evans vermoedt dat de aanvaller “misschien gewoon wat lulz wilde hebben in plaats van serieuze problemen veroorzaken". Hij doet dat omdat de vervuilde code niet verstopt was. Ook wordt de installatie van de gehackte versie niet naar de aanvaller gecommuniceerd. Het is daardoor niet mogelijk slachtoffers te identificeren.

Evans heeft de website en de broncode van zijn ftp-server inmiddels verplaatst naar Appspot. Een website die gehost wordt via Google App Engine.

In december werd ProFTPD op een vergelijkbare manier gehackt. Ook daar braken hackers in op een server en veranderden zij de broncode zo dat er een backdoor in de software kwam. Het grote verschil is dat deze hackers wel kwaad wilden en binnenkwamen via een lek in de FTP-software zelf.