Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 14/11/2002
En version af kildekoden til snifferprogrammet Tcpdump er inficeret med en trojansk hest, der giver en angriber kontakt med den computer, programmet kompileres på. Den inficerede version var tilgængelig på www.tcpdump.org i et par dage, før det blev opdaget.Den trojanske hest kører, når man starter Tcpdump-programmet Configure. Den forbinder sig til en bestemt adresse, hvor den henter et script. Dette script henter kildekoden til et C-program, som derefter kompileres og køres. Dette program forbinder sig med hackerens server på port 1963 og læser en enkelt byte. Denne byte udgør kommandoen til den trojanske hest:
- A - får den trojanske hest til at holde op med at køre
- D - opretter en shell, som forbindes til hackerens computer
- M - lukker forbindelsen og venter i en time
CERT/CC (det amerikanske CERT-koordinationscenter) anbefaler, at man kontroller checksummen, hvis man har downloadet Tcpdump for nylig. Rene versioner kan hentes på Sourceforge.