O ataque aqui é comumente conhecido como o ataque "Roaring Beast"; você pode ler mais sobre isso nesses boletins:
Para usar a função chroot(2) , o servidor de FTP deve ter privilégios de root. Posteriormente, o cliente não privilegiado solicita a criação de arquivos dentro de /etc (ou /lib ) dentro desse processo de servidor de chrooted. Esses diretórios geralmente contêm bibliotecas carregadas dinamicamente e configuração para bibliotecas do sistema, como o resolvedor de DNS, descoberta de nome de usuário / grupo, etc . Os arquivos criados pelo cliente não são nos diretórios real /etc/ e /lib no sistema - mas dentro o chroot , esses arquivos criados pelo cliente são reais .
Assim, o cliente mal-intencionado se conecta a um servidor FTP que executa o processo chroot, cria os diretórios /lib e /etc / arquivos necessários dentro do chroot, carrega uma cópia mal-intencionada de algumas bibliotecas dinâmicas e solicita ao servidor executar alguma ação que acione o uso de suas novas bibliotecas dinâmicas (geralmente apenas uma listagem de diretório, o que leva a usar as funções do sistema para descoberta de usuário / grupo, etc). O processo do servidor executa bibliotecas maliciosas, e porque o servidor ainda pode ter privilégios de root , que o código da biblioteca maliciosa pode ter acesso extra para fazer o que quiser.
Observe que /etc e /lib não são os diretórios somente a serem observados; A questão é mais sobre as suposições feitas pelas bibliotecas do sistema sobre seus locais de arquivos em geral. Assim, plataformas diferentes podem ter outros diretórios para proteger.
O ProFTPD, por exemplo, agora impede a criação dos diretórios /etc/ e /lib quando chrooted , para mitigar esses ataques.
Espero que isso ajude!