简要描述:

从微博上看到腾讯安全团队说sourceforge一些服务器被入侵,一些源码被植入后门,仔细研究了下,发现并非sourceforge被入侵,而是下面的韩国镜像节点提供商cdnetworks服务器存在问题

详细说明:

在sourceforge上下载源码时,会根据网络情况自动选择镜像节点下载,由于我国没有镜像服务器,所以会从最近的韩国的节点上下载,这次腾讯也发现有phpMyadmin源码被植入了后门的情况,我们经过分析发现其他的节点均不存在问题,只有韩国的cdnetworks提供的某些镜像中才存在问题

漏洞证明:

自动选择的韩国节点上下载phpMyadmin源码会发现存在后门

http://cdnetworks-kr-1.dl.sourceforge.net/project/phpmyadmin/phpMyAdmin/3.5.2.2/phpMyAdmin-3.5.2.2-all-languages.zip

时间比较早了,在8月份的时候应该就被更改过了,近期下载过pma的要小心了!但是并非所有的镜像都有问题,通过选择其他节点

SsourceForge 韩国节点被入侵,对天朝影响很大

验证后并非都有后门,而我们自动选择的却恰恰是有后门的源码!有后门的也正是cdnetworks这个韩国节点

修复方案:

韩国的安全我们知道一直都不是特别好的,希望韩国提升自身安全性,不要影响我们天朝,另外天朝也需要自力更生,建立个镜像节点吧,腾讯建立一个就很赞!

相关评论:

 

2012-09-25 12:46 | xsser (核心白帽子 | Rank:249 漏洞数:17 | 大哥,你玩儿黑客,你玩它有啥用啊!)

棒子是不是故意的啊??

 

2012-09-25 12:49 | gainover (核心白帽子 | Rank:866 漏洞数:41 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

难说~~

 

2012-09-25 12:50 | Nimda ( 实习白帽子 | Rank:10 漏洞数:1 | <br> <br> <br>)

我是来看标题的

 

2012-09-25 12:57 | Xhm1n9 ( 普通白帽子 | Rank:57 漏洞数:13 | bug)

关注一下

 

2012-09-25 13:05 | horseluke ( 普通白帽子 | Rank:74 漏洞数:12 | Realize the dream in earnest.)

神奇的路人甲..

 

2012-09-25 13:09 | 小禾吉( 实习白帽子 | Rank:0 漏洞数:1 | 宇宙的目的很可能和人类没有关系,宇宙很可...)

要粗大事了?

 

2012-09-25 14:10 | HuGtion ( 实习白帽子 | Rank:7 漏洞数:2 | 学习安全技术。)

话说 SF 的开源精神灰常的强大 "SourceForge空间可任意查看服务器文件导致密码泄露事件

1、SF空间的此“漏洞”由来已久。查了一下网上的资料,2010-08-18有网站就公布了“SourceForge某站点存在任意读取本地文件漏洞”。

2、漏洞类型:任意文件遍历/下载。由于sourceForge使用nfs集中管理所有网站文件,可能导致产生大量的敏感信息泄露。

3、当然后来SF空间修补了这个漏洞,但是SourceForge空间可查看任意文件一直没有改变,因为官方称SourceForge是一个开源免费平台。

4、所有的放在SF空间上的程序和文件都是可以自由免费下载的。这一开源分享的“精神”可佳,可惜如果我们将一些敏感的信息的文件放在SF空间上就有可能遭受损失了。

5、只要改变路径就能查看一切项目的任何文件,就算此项目不是自己创建的,这意味着将网站部署于SourceForge,任何其他用户都能对你的数据库进行操作。

6、而且config文件里的密码如果是你常用密码的话... 某些“好奇之士” 难道不会去尝试去登录一下你的Godaddy空间或者其它的平台吗? "

 

2012-09-25 14:11 | xsser (核心白帽子 | Rank:249 漏洞数:17 | 大哥,你玩儿黑客,你玩它有啥用啊!)

@HuGtion 问题是这次的问题不再Sourceforge 而在于韩国节点

 

2012-09-25 14:16 | j14n ( 实习白帽子 | Rank:8 漏洞数:2 | 既然认准了这条路,又何必在意要走多久.)

楼主是雷锋啊。。

 

2012-09-25 15:01 | 神刀( 实习白帽子 | Rank:23 漏洞数:3 | www.shellsec.com内射那么牛,虾米没妹子?)

我是看标题进来的

 

2012-09-25 15:25 | 蟋蟀哥哥( 普通白帽子 | Rank:328 漏洞数:50 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

自建结点??你说备案怎么办呢。。国人都被难死了,别说老外了

 

2012-09-25 15:27 | 蟋蟀哥哥( 普通白帽子 | Rank:328 漏洞数:50 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

这次玩大了。。这个漏洞。。受影响估计有很多人的。。包括我自己的多个站点都可能存在这个问题。。自查去了

 

2012-09-25 16:36 | CHForce ( 实习白帽子 | Rank:0 漏洞数:1 | 研究ps脚本和网络安全的单个人。爱好设计 ...)

哈哈。我是用源代码,都是学习,很少直接用的

 

2012-09-25 22:06 | Nimda ( 实习白帽子 | Rank:10 漏洞数:1 | <br> <br> <br>)

刚下了个pma,确实如洞主所说, 不过为毛插马的货没藏在其他文件里?。。。纳闷球中

 

2012-09-26 00:05 | 北北( 实习白帽子 | Rank:15 漏洞数:4 | 广告位招租)

之前都把SF墙了,咋还可能国内放节点~ 你看看那个牛X的一句话,目测国人干的。

 

2012-09-26 13:15 | Mujj ( 实习白帽子 | Rank:30 漏洞数:2 | 八零主机 http://www.80host.com 欢迎购买)

@蟋蟀哥哥 蛋疼了吧

 

2012-09-26 13:35 | 蟋蟀哥哥( 普通白帽子 | Rank:328 漏洞数:50 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

@Mujj 自查了的。。没有中招

 

摘自:http://www.wooyun.org/bugs/wooyun-2010-012705