注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

和申的个人主页

专注于java开发,1985wanggang

 
 
 

日志

 
 

【转载】紧急:中文版putty、WinSCP、SSH Secure后门!请立即更新  

2012-01-31 19:19:37|  分类: java安全 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

原文在http://www.youxia.org/2012/01/putty-WinSCP-SecureCRT-Backdoor.html

我再加个图

【转载】紧急:中文版putty、WinSCP、SSH Secure后门!请立即更新 - 和申 - 和申的个人主页
 

我曾经有一个朋友的服务器就是出现了下面说的1 3 4的问题,终于找到源头了。

转载开始。

凡是使用中文版putty、WinSCP、SSH Secure的用户请注意,它们很可能带有病毒,会导致root密码被盗走,进而盗取或破坏数据,利用服务器发攻击包等。

昨晚新浪微博的GrimCoder给给游侠(www.youxia.org)发消息,说中文版putty和winscp可能被植入后门;然后Mir_4ll3n又发了个文章;早上看到南非蜘蛛又贴了2个地址证实。今天早上游侠就综合下吧:

如果您的服务器出现如下问题:
1.进程 .osyslog 或 .fsyslog 吃CPU超过100~1000% (O与F 可能为随机)
2.有网络连接往 98.126.55.226:82(大概为主控)
3.机器疯狂外发数据
4./var/log被删除
5.同IP旁扫出现一个域名 oxoddos.com 并且站点名带中文

请立即检查系统安全性!

同时,可能会/etc/init.d/sshd文件被修改:
#!/bin/bash
auto
/lib/.fsyslog
#
# chkconfig: 2345 55 25
# description: OpenSSH server daemon
#
# processname: sshd
只要重启sshd,就被自动更改

同时建立一个到美国IP的TCP连接:98.126.55.226:82
增加了fsyslog(或osyslog)进程,耗费CPU严重
/var/log目录经常被删除
/etc 和/lib 目录 下多了很多隐藏文件 . 开头的,如:

[root@www init.d]# ll -al /etc/.
./ .fsyslog .fsyslog.2 .fsyslog.4 .fsyslog.6 .osyslog.1 .osyslog.3 .osyslog.5 .pwd.lock
../ .fsyslog.1 .fsyslog.3 .fsyslog.5 .osyslog .osyslog.2 .osyslog.4 .osyslog.6

[root@www init.d]# ll -al /lib/.fsyslog
-rwxr-xr-x 1 root root 328056 01-17 19:26 /lib/.fsyslog

需要同时检查sshd和sendmail启动文件,注释掉auto 和/lib/.fsyslog 两行,再
chmod 4500 /etc/init.d/sendmail
chmod 4500 /etc/init.d/sshd
rm /etc/.osyslog* -f
rm /etc/.fsyslog* -f
rm /lib/.fsyslog -f
rm -f /lib/.osyslog

拾梦(www.bugbeta.cn)专门下载了一个中文版的WinSCP,发现密码输入错误后,不让终止:

【转载】紧急:中文版putty、WinSCP、SSH Secure后门!请立即更新 - 和申 - 和申的个人主页
 

目前临时解决办法
·到官网网站下载SSH软件并安装
·立即更改SSH服务端口
·可使用密匙认证(好像不受影响)
·参照上文检查sshd和sendmail启动文件
·修改SSH服务器密码(游侠提醒:要处理好上面几步之后再修改密码)

同时游侠建议您,请在正规网站下载putty、WinSCP、SecureCRT,如:
putty:http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
WinSCP:http://sourceforge.net/projects/winscp/files/WinSCP/4.3.6/winscp436setup.exe/download
SecureCRT:http://www.vandyke.com/download/securecrt/download.html

游侠在百度搜索了下putty、WinSCP、SecureCRT

已知可能存在问题的站点:
hxxp://www.putty.org.cn
hxxp://putty.ws
hxxp://www.winscp.cc
hxxp://www.sshsecure.com

第一个网站的whois信息:

【转载】紧急:中文版putty、WinSCP、SSH Secure后门!请立即更新 - 和申 - 和申的个人主页
 

putty和WinSCP是免费软件。但是很明显的:居然都在百度做竞价推广,这一点就非常说明问题!

【转载】紧急:中文版putty、WinSCP、SSH Secure后门!请立即更新 - 和申 - 和申的个人主页
 

既然做百度推广,就必然要交费,必然有地址!(换一种说法:出现这样的问题,百度难逃其咎)建议公安部门从百度竞价入手,追查相关责任人!

PS:
不是所有的中文版、汉化版都有问题。因这三款软件的版本较多,游侠无法一一验证。请自行鉴别。

整理:www.youxia.org 游侠安全网

感谢:
weibo.com GrimCoder(爆料人)
weibo.com Mir_4ll3n
weibo.com 南非蜘蛛
www.bugbeta.cn 拾梦(现身说法)
www.hostloc.com 用户名
www.zijidelu.org 爱洞特漏


摘自:http://baoz.net/putty-backdoor-exposed/

问题下载源:
    www.putty.org.cn
    putty.ws
    www.winscp.cc
    www.sshsecure.com

  评论这张
 
阅读(1111)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2016