Továbbá bekerült a /etc/hosts fájl tartalom ellenőrzése is. Itt jelenleg az xcp.unrealhosting.hu címet figyeli, amely átvette a korábbi cím szerepét a frissítések ellenőrzésére.
Eredeti bejegyzés:
FIGYELEM! Ez a cikk csak azzal a szándékkal készült, hogy fejlesztők, valamint szakértők kipróbálhassák az MSCP Lite korábbi verzióinak beismert biztonsági réseit. Senki ne telepítse azt szervergépére, vagy otthoni számítógépére. Csak saját felelősségre!
A bejegyzés biztonsági okokból ezidáig vissza volt tartva, hogy mindenkinek legyen kellő ideje frissíteni/eltávolítani a kártékony verziókat.
A verziók letölthetőek a következő cikkek archívumaiból:
A szükséges lépések:
1. Telepíts egy teszt környezetet (Például VirtualBox/VMWare alá Debian 6.0)
2. Töltsd le valamelyik verziót, és juttasd fel a teszt környezetre
3. A /etc/hosts fájlba vidd fel a következő sort: 127.0.0.1 rtvstat.hu www.rtvstat.hu
4. Csomagold ki a tar.gz fájlt
5. Indítsd el a telepítő scriptet: install_upgrade_debian_hun / install_upgrade_debian_eng
6. Kövesd a választott verzióhoz tartozó leírást a backdoor kipróbálásához.
Mivel a "hibát" a fejlesztő maga is elismerte, bár más magyarázattal próbálta leplezni, és azonnali frissítést kényszerít ki a meglévő felhasználók szervereire, amely állítása szerint már nem tartalmaz semmit, így őket nem veszélyeztetik a blogon közzétett információk.
Azonban azt is figyelembe kell venni, hogy ez a hiba akkor lenne sima hibának nevezhető, ha azt nem tudatosan helyezték volna el a programban. Mivel a program frissítéseket keres minden egyes adminisztrációs felület megnyitáskor, és abban az aktuális verziót is közli, a fejlesztő könnyű szerrel megtudja, hogy hova lett telepítve a programja, és milyen verzióval. Ezen információk birtokában ő úgymond egy botnet hálózatot hozott létre, ami súlyos bűncselekménynek minősül.
Biztonsági okokból a teszt környezet internet felől ne legyen kívülről elérhető, de eddig tudomásunk szerint a frissítés keresésen kívül nem kommunikál mást a távoli szerverrel, és azt is csak a hosts fájlba már előzőleg felvitt címekkel próbál, így azokat nem fogja elérni.
--
Többen is jelezték, hogy hasonló problémájuk, illetve támadások érték a számítógépüket, szervergépüket.
Online is olvasható pár panasz, a következő helyeken:
Illetve hozzánk is érkezett, hozzászólás formájában:
Aki úgy érzi, hogy őt is megkárosították, írjon az mcp[kukac]mpp[pont]hu email címre!
Szia!
VálaszTörlésfeltelepítettem a 1.2.8-as verziót és utána szóltak nekem, hogy ezzel nincs valami rendben.. utána találtam rá erre a blogra.
Már töröltem mert egyébként sem akart működni...
Ebben a verzióban volt még backdoor? tartanom kell valamitől így uninstall után?
a választ előre is köszönöm :)
Szia!
TörlésBár a korábbi verziókban felfedeztünk direkt elhelyezett biztonsági réseket, ezeket a fejlesztő a blog publikálása előtt eltávolította, hogy fenntartsa a biztonságosság látszatát, és mosta kezeit, nem lehet teljesen megbízni ezek után ebben a rendszerben.
Időnként automatikus vizsgálatot indítunk a letölthető legfrissebb változatokra, de ez csak a korábbi sebezhetőségeket keresi, az újakat csak nagyobb erőfeszítések árán tudunk felfedezni.
Jelenleg nem javasoljuk a rendszer használatát.