SsourceForge 韩国节点被入侵，phpMyadmin 源码被插入后门

简要描述：

从微博上看到腾讯安全团队说sourceforge一些服务器被入侵，一些源码被植入后门，仔细研究了下，发现并非sourceforge被入侵，而是下面的韩国镜像节点提供商cdnetworks服务器存在问题

详细说明：

在sourceforge上下载源码时，会根据网络情况自动选择镜像节点下载，由于我国没有镜像服务器，所以会从最近的韩国的节点上下载，这次腾讯也发现有phpMyadmin源码被植入了后门的情况，我们经过分析发现其他的节点均不存在问题，只有韩国的cdnetworks提供的某些镜像中才存在问题

漏洞证明：

自动选择的韩国节点上下载phpMyadmin源码会发现存在后门

http://cdnetworks-kr-1.dl.sourceforge.net/project/phpmyadmin/phpMyAdmin/3.5.2.2/phpMyAdmin-3.5.2.2-all-languages.zip

时间比较早了，在8月份的时候应该就被更改过了，近期下载过pma的要小心了！但是并非所有的镜像都有问题，通过选择其他节点

验证后并非都有后门，而我们自动选择的却恰恰是有后门的源码！有后门的也正是cdnetworks这个韩国节点

修复方案：

韩国的安全我们知道一直都不是特别好的，希望韩国提升自身安全性，不要影响我们天朝，另外天朝也需要自力更生，建立个镜像节点吧，腾讯建立一个就很赞！

---

相关评论：

 

2012-09-25 12:46 | xsser (核心白帽子 | Rank:249 漏洞数:17 | 大哥，你玩儿黑客，你玩它有啥用啊！)

棒子是不是故意的啊？？

 

2012-09-25 12:49 | gainover (核心白帽子 | Rank:866 漏洞数:41 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

难说～～

 

2012-09-25 12:50 | Nimda ( 实习白帽子 | Rank:10 漏洞数:1 |

)

我是来看标题的

 

2012-09-25 12:57 | Xhm1n9 ( 普通白帽子 | Rank:57 漏洞数:13 | bug)

关注一下

 

2012-09-25 13:05 | horseluke ( 普通白帽子 | Rank:74 漏洞数:12 | Realize the dream in earnest.)

神奇的路人甲..

 

2012-09-25 13:09 | 小禾吉( 实习白帽子 | Rank:0 漏洞数:1 | 宇宙的目的很可能和人类没有关系，宇宙很可...)

要粗大事了？

 

2012-09-25 14:10 | HuGtion ( 实习白帽子 | Rank:7 漏洞数:2 | 学习安全技术。)

话说 SF 的开源精神灰常的强大 "SourceForge空间可任意查看服务器文件导致密码泄露事件

1、SF空间的此“漏洞”由来已久。查了一下网上的资料，2010-08-18有网站就公布了“SourceForge某站点存在任意读取本地文件漏洞”。

2、漏洞类型：任意文件遍历/下载。由于sourceForge使用nfs集中管理所有网站文件，可能导致产生大量的敏感信息泄露。

3、当然后来SF空间修补了这个漏洞，但是SourceForge空间可查看任意文件一直没有改变，因为官方称SourceForge是一个开源免费平台。

4、所有的放在SF空间上的程序和文件都是可以自由免费下载的。这一开源分享的“精神”可佳，可惜如果我们将一些敏感的信息的文件放在SF空间上就有可能遭受损失了。

5、只要改变路径就能查看一切项目的任何文件，就算此项目不是自己创建的，这意味着将网站部署于SourceForge，任何其他用户都能对你的数据库进行操作。

6、而且config文件里的密码如果是你常用密码的话... 某些“好奇之士” 难道不会去尝试去登录一下你的Godaddy空间或者其它的平台吗？ "

 

2012-09-25 14:11 | xsser (核心白帽子 | Rank:249 漏洞数:17 | 大哥，你玩儿黑客，你玩它有啥用啊！)

@HuGtion 问题是这次的问题不再Sourceforge 而在于韩国节点

 

2012-09-25 14:16 | j14n ( 实习白帽子 | Rank:8 漏洞数:2 | 既然认准了这条路,又何必在意要走多久.)

楼主是雷锋啊。。

 

2012-09-25 15:01 | 神刀( 实习白帽子 | Rank:23 漏洞数:3 | www.shellsec.com内射那么牛，虾米没妹子？)

我是看标题进来的

 

2012-09-25 15:25 | 蟋蟀哥哥( 普通白帽子 | Rank:328 漏洞数:50 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

自建结点??你说备案怎么办呢。。国人都被难死了，别说老外了

 

2012-09-25 15:27 | 蟋蟀哥哥( 普通白帽子 | Rank:328 漏洞数:50 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

这次玩大了。。这个漏洞。。受影响估计有很多人的。。包括我自己的多个站点都可能存在这个问题。。自查去了

 

2012-09-25 16:36 | CHForce ( 实习白帽子 | Rank:0 漏洞数:1 | 研究ps脚本和网络安全的单个人。爱好设计 ...)

哈哈。我是用源代码，都是学习，很少直接用的

 

2012-09-25 22:06 | Nimda ( 实习白帽子 | Rank:10 漏洞数:1 |

)

刚下了个pma，确实如洞主所说， 不过为毛插马的货没藏在其他文件里？。。。纳闷球中

 

2012-09-26 00:05 | 北北( 实习白帽子 | Rank:15 漏洞数:4 | 广告位招租)

之前都把SF墙了，咋还可能国内放节点~ 你看看那个牛X的一句话，目测国人干的。

 

2012-09-26 13:15 | Mujj ( 实习白帽子 | Rank:30 漏洞数:2 | 八零主机 http://www.80host.com 欢迎购买)

@蟋蟀哥哥 蛋疼了吧

 

2012-09-26 13:35 | 蟋蟀哥哥( 普通白帽子 | Rank:328 漏洞数:50 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

@Mujj 自查了的。。没有中招

 

摘自：http://www.wooyun.org/bugs/wooyun-2010-012705

文章来源于lcx.cc:SsourceForge 韩国节点被入侵，phpMyadmin 源码被插入后门

相关推荐: Mac os的端口转发工具。改了下代码，编译通过

/* ************************************************************************************ * * Lhtran.c - Packet Transmit Tool For Un…