[SECURITY-L] Ferramenta de seguranca e biblioteca para Linux possui trojan

[Daniela Regina Barbetti Silva]

----- Forwarded message from Caio Souza Mendes <caio_sm em yahoo.com.br> -----

From: Caio Souza Mendes <caio_sm em yahoo.com.br>
Subject: Ferramenta de seguranXa e biblioteca para Linux possui trojan 
To: daniela em ccuec.unicamp.br
Date: Thu, 14 Nov 2002 12:17:24 -0300 (ART)


Notícia

:: Ferramenta de segurança e biblioteca para Linux possui trojan 
:: 14/11/2002 @ 10:54:13 



Foi divulgado ontem que algumas versões do tcpdump e da biblioteca libpcap possui um trojan (cavalo de tróia) instalado em seus códigos fontes possibilitando para o atacante ganhar acesso remoto ao servidor. 

Para quem não conhece o tcpdump é uma ferramenta utilizada para capturar pacotes de uma rede e mostrar informações referentes ao conteúdo desses pacotes ou então gravar os mesmos em um arquivo. A libpcap é uma biblioteca utilizada para capturas de pacotes (sniffing) em uma rede, dentre os programas que utilizam esta biblioteca está o conhecido Intrusion Detection System (IDS) Snort. 

O trojan inicialmente busca um arquivo em um servidor remoto http://mars.raketti.net/~mash/services, que é um shell script onde gera um programa em C, compila e o executa. Após isso tenta conectar no IP 212.146.0.34 (mars.raketti.net), na porta 1963 onde receberá um código de status que determinará sua ação. 

As versões 3.7.1 e 3.6.2 do tcpdump e a versão 0.7.1 da biblioteca libpcap estão afetadas. É aconselhado ao administrador sempre verificar o Hash MD5 para evitar possíveis problemas. 

Maiores informações podem ser obtidas através do endereço abaixo. 

[Libpcap and tcpdump trojaned on tcpdump.org] 
http://hlug.fscker.com/ Fonte: Telsinc Security - http://www.telsincsecurity.com.br/?menu=noticia&notid=256


----- End forwarded message -----