IRC server โดนแอบวาง Trojan นานเป็นเดือนๆ โดยไม่มีใครรู้


หลายคนที่ใช้ Linux และ Open Source ส่วนใหญ่ก็มั่นอกมั่นใจว่ายังไงตัวเองก็ปลอดภัย ไม่ต้องกังวลเรื่อง malware, trojans, viruses ขอแค่อัพเดตสม่ำเสมอ ไม่รันโปรแกรมจากแหล่งที่ไม่น่าไว้ใจ ไม่ล็อกอินเข้าเป็น root เท่านั้นก็พอ (ไม่รู้มีคนไปตั้งกลุ่ม “มั่นใจว่า Linux เกินล้านเครื่องไม่ติดไวรัส” ใน Facebook หรือยัง?)

แต่ว่าเรื่องน่าอายที่ถูกเปิดเผยขึ้นวันนี้อาจจะทำให้ผู้ใช้ Linux และ Open Source ต้องระมัดระวังตัวกันมากยิ่งขึ้น เมื่อ UnrealIRCd ได้พบว่า server ของตัวเองโดนเจาะ และได้มีคน “แอบ” สลับเอา Unreal เวอร์ชันที่มี trojan แฝงอยู่ไปวางไว้แทน tarball ของจริง (tarball เป็น source package สำหรับไว้ compile บน *nix มักมีนามสกุล .tar.gz หรือ .tar.bz2) ซึ่ง trojan นี้สร้าง backdoor ให้ผู้บุกรุกรันคำสั่งอะไรก็ได้ด้วยสิทธิ์ของ user ที่รัน ircd อยู่ในเครื่องนั้นๆ แม้ว่าจะตั้ง password เอาไว้ก็ตาม (ผมเดาว่า Unreal นี้น่าจะเป็นโปรแกรมไว้ทำ IRC server นะ ไม่น่าจะเกี่ยวกับเกม Unreal Tournament ตอนแรกผมนึกว่า Unreal Tournament Server โดนเจาะซะอีก)

และหลังจากการตรวจสอบ คาดว่า package นี้โดนแอบเปลี่ยนมาตั้งแต่เดือนพฤศจิกายน ปี 2009 หรือประมาณเกือบ 8 เดือนที่แล้ว โดยไม่มีใครรู้เลย

นี่ขนาดว่าเป็น Open Source นะ ถ้าเป็น Closed Source สงสัยชาติหน้าก็ไม่รู้

ข้างล่างนี้คือประกาศจาก UnrealIRCd Forums

Hi all,

This is very embarrassing…

We found out that the Unreal3.2.8.1.tar.gz file on our mirrors has been replaced quite a while ago with a version with a backdoor (trojan) in it. This backdoor allows a person to execute ANY command with the privileges of the user running the ircd. The backdoor can be executed regardless of any user restrictions (so even if you have passworded server or hub that doesn’t allow any users in).

It appears the replacement of the .tar.gz occurred in November 2009 (at least on some mirrors). It seems nobody noticed it until now.

และเรื่องมันน่าตลกหนักเข้าไปอีก เมื่อในประกาศฉบับเดียวกันบอกต่อด้วยว่า เวอร์ชันของ Windows ไม่ได้รับผลกระทบแต่อย่างใด (ไม่โดนเปลี่ยน) นอกจากนี้เวอร์ชันเก่าๆ และเวอร์ชันที่อยู่ใน CVS ก็ไม่โดนอะไรด้วยเช่นกัน

The Windows (SSL and non-ssl) binaries are NOT affected.

CVS is also not affected.

3.2.8 and any earlier versions are not affected.

สงสัยแฮกเกอร์คนนี้คงขี้เกียจ compile เขียนโค้ดเสร็จก็อัพโหลดขึ้นไปวางบน server ปิดเครื่อง แล้วก็ไปสั่งก๋วยเตี๋ยวกินเลย

ใครคิดว่าผมแปลข่าวผิด ตามไปอ่านได้จากที่มาข่าวอีก 2 ฉบับด้านล่างได้ครับ

  1. http://www.zdnet.com/blog/bott/linux-infection-proves-windows-malware-monopoly-is-over/2206
  2. http://www.h-online.com/security/news/item/IRC-server-had-backdoor-in-source-code-for-months-1020987.html

เพื่อให้เข้ากับเนื้อหา ผมขอแทรก slideshow จากงาน Southeast LinuxFest 2010 ไว้ต่อท้ายแล้วกัน

One Response to IRC server โดนแอบวาง Trojan นานเป็นเดือนๆ โดยไม่มีใครรู้

  1. thakns for all

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: