简要描述:
从微博上看到腾讯安全团队说sourceforge一些服务器被入侵,一些源码被植入后门,仔细研究了下,发现并非sourceforge被入侵,而是下面的韩国镜像节点提供商cdnetworks服务器存在问题
详细说明:
在sourceforge上下载源码时,会根据网络情况自动选择镜像节点下载,由于我国没有镜像服务器,所以会从最近的韩国的节点上下载,这次腾讯也发现有phpMyadmin源码被植入了后门的情况,我们经过分析发现其他的节点均不存在问题,只有韩国的cdnetworks提供的某些镜像中才存在问题
漏洞证明:
自动选择的韩国节点上下载phpMyadmin源码会发现存在后门/server_sync.php 里包含一句话木马。
http://cdnetworks-kr-1.dl.sourceforge.net/project/phpmyadmin/phpMyAdmin/3.5.2.2/phpMyAdmin-3.5.2.2-all-languages.zip
通过和国网中心的包比对了下,确实多了个server_sync.php文件。
参考:http://www.wooyun.org/bugs/wooyun-2010-012705#0-tsina-1-27413-397232819ff9a47a7b7e80a40613cfe1
No Responses (yet)
Stay in touch with the conversation, subscribe to the RSS feed for comments on this post.