[HACK] Backdoor en BitchX

zero zeroboy at arrakis.es
Wed Jul 3 17:44:17 CEST 2002


At 14:45 02/07/2002 +0200, you wrote:
>Según leí en bugtraq el fichero ircii-pana-1.0c19.tar.gz del
>ftp.bitchx.org parece estar infectado con una backdoor que spawnea una
>shell al exterior (telnet inverso).
>
>¿¿ Alguno de vosotros a observado esto ??
>

         Yo no lo he llegado a ver on the wild pero si he visto los 
ficheros troyanizados. Esto mismo pasó hace muy poco en otro sitio, y los 
archivos se vieron infectados con el mismo troyano. Alguien rompió en el 
sitio y modificó los scripts de configuración para bindear una shell a un 
puerto. Puesto que los scripts de configuración son ejecutados como root, 
la shell era de root y por tanto brinda acceso al sistema entero. Btw 
solamente ftp.bitchx.org fue modificado, aun así y dado que no es la 
primera vez que pasa esto en poco tiempo, es importante que se verifique la 
integridad de los ficheros con las firmas digitales.

Un salu2


>--
>Pedro Andujar (Crg)
>Security Consultant At:
>IP6 Tiger-Team / IP6-CERT
>PGP: http://pgp.digitalsec.net
>Key fingerprint = 4C72 3DDC 23DA 479C 9317  982B E91C 80A8 4EAE 88B4
>
>
>_______________________________________________
>Lista - http://mailman.argo.es/listinfo/hacking
>FAQ - http://www.argo.es/~jcea/artic/hack-faq.htm
>"una-al-dia" para estar siempre informado - http://www.hispasec.com/

www.citfi.org
www.podergeek.com
**********************************
"The further backward you look, the further forward you can see" Winston 
Churchill
"Access is GOD..."
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 222 bytes
Desc: not available
URL: <https://mailman.jcea.es/pipermail/hacking/attachments/20020703/78fdb404/attachment.sig>


More information about the hacking mailing list