Разработчики популярного FTP-сервера ProFTPD сообщили об обнаружении факта взлома основного сервера проекта и подмены архива с исходными текстами на вариант, содержащий вредоносный код. В результате атаки, c 28 ноября по 2 декабря с первичного FTP-сервера проекта и всех зеркал распространялся модифицированный злоумышленниками вариант архива ProFTPD 1.3.3c.

Всем пользователям, загрузившим код в указанный период времени, следует немедленно сверить контрольные суммы для загруженного архива и в случае их несовпадения установить корректную версию ProFTPD. Интегрированный в код сервера бэкдор позволял получить shell-доступ к системе с правами суперпользователя, после ввода FTP-команды «HELP ACIDBITCHEZ». При запуске, модифицированный сервер отправлял уведомление на определенный IP в Саудовской Аравии, давая знать о готовности принять команды злоумышленников.

Взлом сервера проекта был осуществлен в результате несвоевременного обновления ProFTPD, обслуживающего FTP-сервер проекта — в версии 1.3.3c была исправлена опасная уязвимость, важность которой была недооценена разработчиками. Бэкдор был внедрен 28 ноября в 20:00 (UTC), а обнаружен только вечером первого декабря.

Проверить уязвимость своего сервера, можно при помощи следующей последовательности команд:

   $ telnet 1.2.3.4 21
   Trying 1.2.3.4...
   Connected to 1.2.3.4
   Escape character is '^]'.
   220 ProFTPD 1.3.3c Server (ProFTPD Default Installation) [1.2.3.4]
    
   HELP ACIDBITCHEZ
 
   id ;
 
   uid=0(root) gid=0(root) groups=0(root),65534(nogroup)

Дополнение: появилась информация, что взлом мог быть совершен через новую (zero-day) уязвимость в модуле ProFTPD, используемом для аутентификации на SQL-сервере. Исправление для данной уязвимости пока не выпущено.