• This forum has a zero tolerance policy regarding spam. If you register here to publish advertising, your user account will be deleted without further questions.

UnrealIRCd 3.2.8.1 Backdoor

Firewire2002

Registered User
Hi all,

This is very embarrassing...

We found out that the Unreal3.2.8.1.tar.gz file on our mirrors has been replaced quite a while ago with a version with a backdoor (trojan) in it.
This backdoor allows a person to execute ANY command with the privileges of the user running the ircd. The backdoor can be executed regardless of any user
restrictions (so even if you have passworded server or hub that doesn't allow any users in).

It appears the replacement of the .tar.gz occurred in November 2009 (at least on some mirrors). It seems nobody noticed it until now.

How to check if you're running the backdoored version
======================================================
Two ways:

One is to check if the Unreal3.2.8.1.tar.gz you have is good or bad by running 'md5sum Unreal3.2.8.1.tar.gz' on it.
Backdoored version (BAD) is: 752e46f2d873c1679fa99de3f52a274d
Official version (GOOD) is: 7b741e94e867c0a7370553fd01506c66

The other way is to run this command in your Unreal3.2 directory:
grep DEBUG3_DOLOG_SYSTEM include/struct.h
If it outputs two lines, then you're running the backdoored/trojanized version.
If it outputs nothing, then you're safe and there's nothing to do.

Vollständiger Beitrag: http://forums.unrealircd.com/viewtopic.php?t=6562
 
Den Diff hatte ich mir gestern auch schon selbst erstellt. Wollte ja wissen wie man es im Detail ausnutzen kann. ;)
Was leider erschreckend einfach ist.
 
Code:
~$ md5sum Unreal3.2.8.1.tar.gz
752e46f2d873c1679fa99de3f52a274d  Unreal3.2.8.1.tar.gz
~$
Damit dürfte wohl zu befürchten sein, dass das System kompromitiert ist und eine Neuinstallation erfolgen muss? Die Source kamen seinerzeit direkt von http://www.unrealircd.com/

Gruß
balsche

Achso: Danke für die Information, Firewire2002
 
Oops...mein neuer IRC war auch betroffen...:eek:
Zum Glück war der Service (bis auf einen kurzen Test) die ganze Zeit deaktiviert weil V2 meiner Site noch nicht ganz fertig ist (beinhaltet auch neuen IRC, alles auf neuem Server).

Danke für den Hinweis, sollte meine Security RSS Feeds doch öfters checken..:rolleyes:
 
da muss man echt mal den Hut ziehen, der Hack war sauber durchgeführt.

Aber das Unreal-Team, hätte viel früher den Austausch anhand der MD5 Summe erkennen sollen.
 
Back
Top