文章出處：TWNIC 11月電子報

最近更新過Sendmail嗎? 系統可能被植入木馬程式

　CERT/CC接到明確的消息指出，部分Sendmail的原始檔案遭到入侵者竄改並在其中載入木馬程式。任何使用、重新分配或mirror Sednmail程式的站台都應該立刻檢查其檔案的完整性。

　下列檔案遭到竄改並植入惡意程式碼：sendmail.8.12.6.tar.Z, sendmail.8.12.6.tar.gz這些檔案是在2002年9月28日前後，在 ftp.sendmail.org 發現的。Sendmail 開發團隊在PDT 時間 2002年10月6日22:15 關閉了受害的FTP伺服器。從HTTP下載的版本中還沒發現有包含木馬的版本；然而CERT/CC建議這段時間內由HTTP下載原始檔案的使用者可以依"修正方式"做一個預防性的檢查。

　這些含有惡意程式碼的 Sendmail會在編譯時執行木馬程式，這個程式碼會產生一個程序，連結到某個固定的遠端主機的 6667/tcp。入侵者可能利用此程序開啟 shell。沒有證據指出這個程序在受害系統重開機後仍然存在，但重新編譯含木馬程式的 Sendmail會重新建立後門程序。

　修正方式

1.取得可靠版本的 Sendmail
2.檢驗軟體的真實性
3.驗證 PGP 簽名
4.檢驗 MD5 checksums
5.使用輸出過濾(egress filtering)
6.以不具特權的使用者身份編譯軟體
建議以系統上不具特殊權限，非 root的使用者身份來編譯軟體。這樣可以減少木馬程式的直接影響。使用 root來編譯含木馬程式的軟體所導致的結果會比一般使用者更難修復。
7.修復感染的系統
如果您確定您所管理的系統已經受到感染，請依以下連結的步驟：
http://www.cert.org/tech_tips/win-UNIX-system_compromise.html

　影響結果

入侵者經由惡意程式碼內所指定的主機可以在未被授權的情況下，取得任何編譯該受竄改 Sendmail 程式的主機上的權限。取得的權限等級與編譯該 Sendmail 的使用者相同。重要的是，受感染的是曾經編譯過該Sendmail程式的系統，而不是執行Sendmail daemon的系統。因為受感染的系統會建立一個tunnel給入侵者控制的系統，所以入侵者可經由網 路控制。

詳細資訊請參考TWCERT/CC的Advisory[TW-CA-2002-197]
http://www.cert.org.tw/advisory/200210/TW-CA-2002-197.txt

(TWCERT/CC)