VPS的SSH软件安全后门。中文版的putty和winscp很可能带有后门,请大家务必小心
[size=5][color=blue]软件官方网站:[/color][/size]PuTTY:[url=http://www.putty.org/]http://www.putty.org/[/url] WinSCP:[url=http://winscp.net/]http://winscp.net[/url]
[color=red]请使用官方原版,最好 别使用那些汉化、修改过的版本。。[/color]
今天收到 [b][size=3]自己的路 来的邮件提醒 (在QQ邮箱垃圾箱里了)[/size][/b]
[b][size=3][/size][/b]
[table]
[tr][td]
[b][size=3][自己的路] 中文版的putty和winscp很可能带有后门,请大家务必小心[/size][/b]
[/td][td=1,1,1%][p=30, 2, left][img]http://www.gravatar.com/avatar/b9ce98b564ca01eb57645a87a92e4d85?s=40&d=http://mail.qq.com/zh_CN/htmledition/images/spacer.gif&r=G[/img][/p]
[/td][/tr]
[/table][table]
[tr][td]发件人:[b][color=#5fa207]自己的路[/color][/b] [color=#7f7f7f]<[url=mailto:zijidelu@mail.zijidelu.com]zijidelu@mail.zijidelu.com[/url]>[/color] [/td][td=1,1,1%][/td][/tr]
[/table][table]
[tr][td=1,1,99%]时 间:[color=#7f7f7f]2012年1月31日(星期二) 凌晨2:58 (UTC+03:00 巴格达、利雅得、莫斯科时间)[/color][/td][/tr]
[/table]
中文版的putty和winscp很可能带有后门,请大家务必小心
凡是使用中文版putty和winscp的用户请注意,它们很可能带有病毒,会导致root密码被盗走,进而盗取或破坏数据,利用服务器发攻击包等
详情请见:[url=http://www.zijidelu.org/thread-7534-1-1.html][color=#810081]http://www.zijidelu.org/thread-7534-1-1.html[/color][/url]
贴子内容:[url=http://www.zijidelu.org/space-uid-1.html][b][color=#333333]爱洞特漏[/color][/b][/url] 发布于 1月30日
凡是使用中文版putty和winscp的用户请注意,它们很可能带有病毒,会导致root密码被盗走,进而盗取或破坏数据,利用服务器发攻击包等
在百度里搜putty,竟然出现了推广链接(见附件),而putty本身是免费的,为什么有人愿意推广?
我本人配合阿里云安全团队查了几天无果,开始总以为是CentOS的漏洞,结果被一用户告之,在此感谢!
英文版下载链接:
putty: [url=http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html][color=#336699]http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html[/color][/url]
winscp: [url=http://sourceforge.net/projects/winscp/files/WinSCP/4.3.6/winscp436setup.exe/download][color=#336699]http://sourceforge.net/projects/winscp/files/WinSCP/4.3.6/winscp436setup.exe/download[/color][/url]
1月31日,据“游侠安全网”站长发布消息称,国内流行的Linux服务器远程登录工具[i]PuTTY[/i]、WinSCP、SSH Secure等工具汉化版被黑客植入后门,并得到360等安全厂商证实和查杀。今日晚间,新浪微博网友“团-长”再次透露,目前已有上万服务器遭[i]PuTTY[/i]后门窃取密码,这个数字仍在持续增加。
[size=4][b]汉化版PuTTY和WinSCP等软件被安置后门 QQ电脑管家发布预警并拦截[/b][/size]
[url=http://security.zdnet.com.cn/security_zone/2012/0131/2076403.shtml]http://security.zdnet.com.cn/security_zone/2012/0131/2076403.shtml[/url]
ZDNet 应用安全 来源: ZDNET安全频道 2012年01月31日
近日中文版putty、WinSCP等多款软件被曝存在后门,可盗取服务器管理密码,提醒服务器管理员务必小心提防,安装官方软件,卸载汉化版软件,并及时修改管理员密码。QQ电脑管家安全中心已将该后门网站屏蔽,下载该后门软件亦可拦截。
PuTTY是知名的Windows开源SSH管理工具,WinSCP是常用的开源SFTP工具。两者皆为免费、开源软件,其中PuTTY没有官方中文版,而WinSCP已经拥有官方中文版。近期已经有多名Linux服务器管理员爆出服务器密码被盗,导致服务器被完全控制,甚至植入木马。经查可能是由于内置后门的PuTTY和WinSCP工具导致,而这些内置后门的软件皆来源于搜索引擎中指向的非官方授权网站。
[p=30, 2, center][attach]2114[/attach][/p]
经查风险网站可能包含如下站点:
·Winscp中文站,http://www.winscp.cc/。
·Putty中文站,http://putty.org.cn/。
·Putty中文站,http://putty.ws/。
三风险网站界面相同,并且使用相同的流量统计代码。
[b][color=red] 服务器中招的症状可能包括:[/color][/b]
1、进程 .osyslog 或 .fsyslog 吃CPU超过100~1000%(O与F 可能为随机)
2、有网络连接往 98.126.55.226:82 大概为主控
3、机器疯狂外发数据
4、/var/log被删除
5、/etc/init.d/sshd被修改
[color=red][b]检查是否中招的方法:[/b][/color]
搜索 /etc/.fsyslog 与 /lib/.fsyslog文件是否存在。
[color=red][b]中招后的应对方法:[/b][/color]
如果你的服务器已经遭到风险威胁,可以尝试更改SSH连接端口,让攻击者找不到入口。
另外,也希望网站技术人员从官方下载软件使用,卸载该汉化版软件。
[color=red][b] 软件官方网站:[/b][/color]
PuTTY:[url=http://www.putty.org/]http://www.putty.org/[/url] WinSCP:[url=http://winscp.net/]http://winscp.net[/url]
[url=http://security.zdnet.com.cn/security_zone/2012/0131/2076403.shtml]http://security.zdnet.com.cn/security_zone/2012/0131/2076403.shtml[/url]
现象、如图:
[attach]2116[/attach]
SFTP中查看目录 下 文件 .fsyslog
[attach]2117[/attach]
如果您的服务器出现如下问题:
1.进程 .osyslog 或 .fsyslog 吃CPU超过100~1000% (O与F 可能为随机)
2.有网络连接往 98.126.55.226:82(大概为主控)
3.机器疯狂外发数据
4./var/log被删除
5.同IP旁扫出现一个域名 oxoddos.com 并且站点名带中文
请立即检查系统安全性!
同时,可能会/etc/init.d/sshd文件被修改:
#!/bin/bash
auto
/lib/.fsyslog
#
# chkconfig: 2345 55 25
# description: OpenSSH server daemon
#
# processname: sshd
只要重启sshd,就被自动更改
同时建立一个到美国IP的TCP连接:98.126.55.226:82
增加了fsyslog(或osyslog)进程,耗费CPU严重
/var/log目录经常被删除
/etc 和/lib 目录 下多了很多隐藏文件 . 开头的,如:
[root@www init.d]# ll -al /etc/.
./ .fsyslog .fsyslog.2 .fsyslog.4 .fsyslog.6 .osyslog.1 .osyslog.3 .osyslog.5 .pwd.lock
../ .fsyslog.1 .fsyslog.3 .fsyslog.5 .osyslog .osyslog.2 .osyslog.4 .osyslog.6
[root@www init.d]# ll -al /lib/.fsyslog
-rwxr-xr-x 1 root root 328056 01-17 19:26 /lib/.fsyslog
需要同时检查sshd和sendmail启动文件,注释掉auto 和/lib/.fsyslog 两行,再
chmod 4500 /etc/init.d/sendmail
chmod 4500 /etc/init.d/sshd
rm /etc/.osyslog* -f
rm /etc/.fsyslog* -f
rm /lib/.fsyslog -f
rm -f /lib/.osyslog PuTTY内置后门事件发酵:已致上万账户信息泄露
2012-1-31 19:31 TechWeb
[url=http://www.jmnews.com.cn/c/2012/01/31/19/c_6607053.shtml]http://www.jmnews.com.cn/c/2012/01/31/19/c_6607053.shtml[/url]
[attach]2115[/attach]
有知情人士透露,截至目前,PuTTY后门服务器受害账户已达到1万多,且仍在持续增加。(图片来源:新浪微博)
【TechWeb报道】1月31日消息,经安全厂商证实,部分汉化版PuTTY、WinSCP、SSH Secure等开源软件存在后门程序,可能导致Linux服务器系统管理员密码及资料泄露。有知情人士透露,截至目前,PuTTY后门服务器受害账户已达到1万多,且仍在持续增加。
据悉,PuTTY是知名的开源SSH管理工具,WinSCP是常用的开源SFTP工具,均能远程登录Linux服务器实施操作。两者皆为免费、开源软件,其中PuTTY从没有官方中文版,而WinSCP已经拥有官方中文版。最近有Linux服务器管理员发现,上述工具的非官方“汉化版”疑似内置后门,部分网站和企业服务器已因此遭到黑客攻击,导致系统root密码泄漏以及资料泄漏。
经金山、360等多家安全厂商检测,国内部分下载站提供的PuTTY等工具“汉化版”带有恶意代码,可能导致Linux服务器最高权限被盗,受影响网站甚至存在被黑客“拖库”泄密的风险。
今天下午,有安全业界知情人士透露,截至目前,PuTTY后门服务器后查询受害账户已达到1万多,且仍在持续增加,目前仍有受害者的密码在向该服务器发送。
该后门事件被报道后,引发诸多安全厂商和从业者关注。业内人士称,PuTTY等软件本身是开源的,汉化版属于“被人动了手脚”,安全性往往难以保障。由于此次安全漏洞直接关乎linux服务器管理员数据安全,一旦管理员权限被盗,管理员手中掌握的服务器数据将可能面临全面泄露风险,一旦被攻陷,危害程度可能超过此前的CSDN(微博)等互联网企业泄密事件。
对此安全厂商建议Linux系统管理员应立刻卸载这些汉化版软件,并尽快修改管理员密码。如果服务器已经遭到风险威胁,可以尝试更改SSH连接端口,让攻击者找不到入口。
不过值得注意的是,截至今天中午之前,在百度搜索PuTTY和WinSCP这两款软件,均出现了竞价广告,并指向非官方授权的中文打包分发网站。据知情人士称,此事被曝光后,百度方面已经着手处理,将这两款软件的广告从竞价排名中去除。(恰克) 呵呵 QQ电脑管家也有出来这个消息~ 我已经用过了LNMP官方介绍的PuTTY中文了啊 不会已经中招了吧?:Q
页:
[1]