ProFTPD 已感染木马的受损源程序包分发
high Nessus 插件 ID 50989
语言:
简介
FTP 服务器包含允许执行任意代码的后门程序。描述
远程主机正在使用 ProFTPD,一款用于 Unix 和 Linux 的免费 FTP 服务器。已经在“src/help.c”中使用后门程序对安装在远程主机上的 ProFTPD 版本进行编译,而在 2010 年 11 月 28 日 20:00 UTC 左右,ProFTPD 项目的主分发服务器遭到损坏,这一问题直到 2010 年 12 月 2 日才解决,这两件事情明显有所关联。
通过发送特殊的 HELP 命令,未经身份验证的远程攻击者能够以系统权限获取 shell 并且执行任意命令。
请注意,受损的分发文件也包含作为初始配置步骤的一部分运行的代码,并且会向 Saudi Arabia 中的服务器发送特殊的 HTTP 请求。如果从来源执行此安装,则应该假设后门程序的作者已经注意到这一点。
解决方案
从已知的良好来源重新安装主机。另见
https://www.theregister.co.uk/2010/12/02/proftpd_backdoored/
https://xorl.wordpress.com/2010/12/02/news-proftpd-owned-and-backdoored/
插件详情
严重性: High
ID: 50989
文件名: proftpd_1_3_3c_backdoor.nasl
版本: 1.16
类型: remote
系列: FTP
发布时间: 2010/12/6
最近更新时间: 2020/3/27
风险信息
CVSS 分数理由: Score from a more in depth analysis done by tenable
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 8.3
矢量: AV:N/AC:L/Au:N/C:C/I:C/A:C
时间矢量: E:F/RL:OF/RC:C
CVSS 分数来源: manual
CVSS v3
风险因素: High
基本分数: 8.8
时间分数: 8.2
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
时间矢量: E:F/RL:O/RC:C
漏洞信息
CPE: cpe:/a:proftpd:proftpd
可利用: true
易利用性: Exploits are available
补丁发布日期: 2010/12/2
漏洞发布日期: 2010/12/2
可利用的方式
Metasploit (ProFTPD-1.3.3c Backdoor Command Execution)
参考资料信息
BID: 45150
EDB-ID: 15662