Крис Эванс, эксперт по компьютерной безопасности и автор сверхзащищенного FTP-сервера vsftpd ("very secure ftp-daemon"), опубликовал уведомление об обнаружении вредоносного кода в исходных текстах vsftpd-2.3.4.tar.gz, распространяемых с сервера проекта. После инцидента сайт проекта был перемещен со старого хостинга в инфраструктуру Google App Engine.
Внедренный в архив vsftpd-2.3.4.tar.gz вредоносный код представляет собой бэкдор, запускающий shell на TCP-порту 6200 при наличии в имени пользователя смайлика ":)". Код бэкдора не был запутан и легко поддается анализу (изменения составляют около десятка строк). Удивление вызывает то, что авторы бекдора не предусмотрели механизма для отправки уведомления о возможности проникновения. Непонятно, как злоумышленники пытались выявить пораженные бэкдором хосты. Средства оповещения и запутывание кода являются непременными атрибутами современных бэкдоров. Все это позволяет сделать вывод, что поражение vsftpd скорее хулиганская выходка, чем целенаправленная атака.
Автор vsftpd настоятельно рекомендует проверять цифровую подпись для всех распространяемых архивов с кодом. В частности, при выполнении "gpg ./vsftpd-2.3.4.tar.gz.asc" для модифицированного архива выдается явное предупреждение о нарушении цифровой подписи ("gpg: BAD signature..." вместо "gpg: Good signature..."). Пока не ясно как долго указанный архив распространялся с бэкдором и каким образом злоумышленникам удалось взломать аккаунт на хостинге проекта (похоже, vsftpd размещался на shared-хостинге, поддержка которого осуществлялась сторонней компанией).
Капец. Все кто юзал, адаптированную версию для кирилицы, - на встревозе.