ProFTPD 遭入侵的來源封裝特洛伊木馬散佈

high Nessus Plugin ID 50989

概要

FTP 伺服器包含的後門可執行任意程式碼。

說明

遠端主機正在使用 ProFTPD,其為適用於 Unix 和 Linux 的免費 FTP 伺服器。

遠端主機上安裝的 ProFTPD 版本已經過「src/help.c」的後門程式編輯,這顯然與在 2010 年 11 月 28 日 UTC 時間約 20:00 之時 ProFTPD 專案所用的主要散發伺服器遭入侵有關,並且直到 2010 年 12 月 2 日仍未得到修正。

傳送特別的 HELP 命令後,未經驗證的遠端攻擊者可取得 shell,並透過系統權限執行任意命令。

請注意,遭入侵的散發檔案也包含在初始組態步驟中執行並且將特別的 HTTP 要求傳送到沙烏地阿拉伯境內伺服器的程式碼。如果此安裝是從來源建立,則應該假定後門的作者已經注意到這一點。

解決方案

從已知的良好來源重新安裝主機。

另請參閱

https://www.theregister.co.uk/2010/12/02/proftpd_backdoored/

https://xorl.wordpress.com/2010/12/02/news-proftpd-owned-and-backdoored/

http://www.nessus.org/u?74de525d

Plugin 詳細資訊

嚴重性: High

ID: 50989

檔案名稱: proftpd_1_3_3c_backdoor.nasl

版本: 1.16

類型: remote

系列: FTP

已發布: 2010/12/6

已更新: 2020/3/27

支援的感應器: Nessus

風險資訊

CVSS 評分論據: Score from a more in depth analysis done by tenable

CVSS v2

風險因素: Critical

基本分數: 10

時間分數: 8.3

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: manual

CVSS v3

風險因素: High

基本分數: 8.8

時間分數: 8.2

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:F/RL:O/RC:C

弱點資訊

CPE: cpe:/a:proftpd:proftpd

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2010/12/2

弱點發布日期: 2010/12/2

可惡意利用

Metasploit (ProFTPD-1.3.3c Backdoor Command Execution)

參考資訊

BID: 45150