Hacker schleust Trojaner in Sendmail ein
von xylen für WinFuture.de
09. Oktober 2002
CERT/CC warnt vor Backdoor
Das CERT Coordination Center warnt vor einem Trojaner im Source-Code im Message Transfer Agent (MTA) Sendmail. Der Trojaner erzeugt ein Backdoor, sobald das Programm aus dem Source-Code kompiliert wird. Nach den Informationen von CERT/CC soll ein Angreifer um den 28. September den Trojaner in den Source-Code von Sendmail eingefügt haben. Das Entwicklerteam von Sendmail wurde am 6. Oktober auf den Vorfall aufmerksam und legte den betroffen FTP-Server still.
http://www.cert.org/advisories/CA-2002-28.html
Der Trojaner versucht über den TCP-Port 6667 eine Verbindung zu einem bestimmten Server aufzubauen. Dieser Prozess erlaubt es dem Angreifer eine Shell auf dem System, auf dem Sendmail kompiliert wird, mit den selben Rechten wie der User zu öffnen. Dabei wird ein Tunnel aufgebaut, der dem Angreifer auch einen Zugriff auf ein System hinter einer Firewall ermöglichen kann.
"Wenn sie die Sendmail-Distribution herunterladen, müssen sie die PGP-Signatur verifizieren", warnen die Sendmail-Entwickler auf ihrer Homepage
http://www.sendmail.org . "Verwenden sie Sendmail nicht, ohne vorher die Integrität des Codes zu überprüfen." Von dem Vorfall war nach Darstellung von CERT/CC nur die Distribution auf dem FTP-Server betroffen. Bei Downloads via HTTP war der Trojaner dagegen nicht im Code enthalten. Trotzdem werden alle User, die sich zwischen dem 28. September und dem 6. Oktober den Code heruntergeladen haben, aufgefordert ihren Code zu überprüfen. Sendmail ist einer der am häufigsten verwendeten MTAs im Internet. Die Software wird dazu verwendet E-Mails zwischen den Mail-Servern weiterzuleiten.
http://www.winfuture.de/web/index.ph...em.php&ID=6329