트로이목마가 포함된 파일이 배포가 되었군요-_-;;
아래는 openssh.com의 관련문서입니다.
http://www.openssh.com/txt/trojan.adv
======================
KA-2002-76: Trojan Horse OpenSSH
Distribution
----------------------
최초작성일 : 2002-08-03
갱 신 일 :
출 처 : CERT/CC
작 성 자 : 강준구 <jgkang [at] certcc [dot] or [dot] kr>
-- 제목 --------------
트로이목마를 내포한 OpenSSH패키지 배포
-- 해당 시스템 --------
OpenSSH를 탑재하려는 모든 시스템
--영향-----------------
OpenSSH내의 트로이목마가 내포된 버전을 다운로드받아 컴파일하게
된다면
공격자는
원격으로 그 호스트에 대한 비인가 허가권한을 획득할 수 있다. 접근 수준은
트로이목마를
컴파일한 사용자의
접근수준으로 되므로 만약 운영자 권한일 경우 모든
시스템을 장악할 수
도 있다.
-- 설명---------------
아래와 같은 파일에 악성코드가 포함되어져
있다.
openssh-3.4p1.tar.gz
openssh-3.4.tgz
openssh-3.2.2p1.tar.gz
ftp.openssh.com와 ftp.openbsd.org 사이트들은 2002년 7월 30일 또는 31일에
발견된
악성코드
내포된 호스트들이다. 8월 1일 13:00 이후로 정상파일로 대체되어 별 문제가
없으나 7월 30일
또는 31일에
다운로드하고 컴파일한 사람들은 모두 트로이목마가 설치되어
있다. 또한 이 사이트를
Mirroring 한 사이트들 또한 감염되어져
있다.
OpenSSH에 내포된 트로이목마의 악성코드는 고정인 원격 서버의 6667/tcp로
연결한다.
그리고 트로이목마는 컴파일한
사용자의 권한의 쉘을 실행시키게 되는
것이다.
-- 해결책---------------
OpenSSH를 어디에서 다운받았는지 상관없이 배포를 하는데 있어서 검토 및
배포
허가작업을
할 수 있도록 해야한다. Timestamp와 파일 사이즈로서 트로이목마가 자신의
시스템에 내포되어져
있는지 아닌지
가늠하기 힘들므로 해킹 된 사이트에서 다운을 받은 모든
프로그램을 검사할 것을 권고한다.
OpenSSH를 다운로드 할 수 있는 주요
사이트:
http://www.openssh.com/
MD5 checksum을 이용하여 자신의 현재 OpenSSH코드 버전을 확인할 수 잇다.
정상버전
459c1d0262e939d6432f193c7a4ba8a8
openssh-3.4p1.tar.gz
d5a956263287e7fd261528bb1962f24c
openssh-3.4p1.tar.gz.sig
39659226ff5b0d16d0290b21f67c46f2
openssh-3.4.tgz
9d3e1e31e8d6cdbfa3036cb183aa4a01
openssh-3.2.2p1.tar.gz
be4f9ed8da1735efd770dc8fa2bb808a
openssh-3.2.2p1.tar.gz.sig
트로이목마가 내포된 버전:
3ac9bc346d736b4a51d676faa2a08a57 openssh-3.4p1.tar.gz
------- 참조 사이트 --------------------------
http://www.openssh.com/txt/trojan.adv
http://www.cert.org/advisories/CA-2002-24.html
http://www.openssh.com/
--------------------------------------------------------------
한국정보보호진흥원(Korea
Information Security Agency),
Computer Emergency Response Team Coordination
Center , CERTCC-KR
전화: 118 (지방 02-118) Email: <certcc [at] certcc [dot] or [dot] kr>
==============================================================
관련 링크: http://certcc.or.kr
'Security' 카테고리의 다른 글
| sendmail 도움말 숨기기(?) (0) | 2002.09.02 |
|---|---|
| LKM 루트킷 탐지 (0) | 2002.08.16 |
| OpenSSL 다중 취약점 (0) | 2002.08.02 |
| 원격침입과 도스공격이 가능한 PHP 취약점 (0) | 2002.07.23 |
| libbind(BIND) 의 보안버그(buffer overflow) (0) | 2002.07.03 |