Board logo

标题: VPS的SSH软件安全后门。中文版的putty和winscp很可能带有后门,请大家务必小心 [打印本页]
作者: idc886    时间: 2012-2-1 12:33     标题: VPS的SSH软件安全后门。中文版的putty和winscp很可能带有后门,请大家务必小心

软件官方网站:

  PuTTY:http://www.putty.org/       WinSCP:http://winscp.net

请使用官方原版,最好 别使用那些汉化、修改过的版本。。





今天收到 自己的路 来的邮件提醒 (在QQ邮箱垃圾箱里了)


[自己的路] 中文版的putty和winscp很可能带有后门,请大家务必小心


发件人:自己的路 <zijidelu@mail.zijidelu.com>
时   间:2012年1月31日(星期二) 凌晨2:58 (UTC+03:00 巴格达、利雅得、莫斯科时间)



中文版的putty和winscp很可能带有后门,请大家务必小心
凡是使用中文版putty和winscp的用户请注意,它们很可能带有病毒,会导致root密码被盗走,进而盗取或破坏数据,利用服务器发攻击包等
详情请见:http://www.zijidelu.org/thread-7534-1-1.html


贴子内容:爱洞特漏   发布于 1月30日

凡是使用中文版putty和winscp的用户请注意,它们很可能带有病毒,会导致root密码被盗走,进而盗取或破坏数据,利用服务器发攻击包等

在百度里搜putty,竟然出现了推广链接(见附件),而putty本身是免费的,为什么有人愿意推广?
我本人配合阿里云安全团队查了几天无果,开始总以为是CentOS的漏洞,结果被一用户告之,在此感谢!


英文版下载链接:
putty: http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
winscp: http://sourceforge.net/projects/winscp/files/WinSCP/4.3.6/winscp436setup.exe/download




1月31日,据“游侠安全网”站长发布消息称,国内流行的Linux服务器远程登录工具PuTTY、WinSCP、SSH Secure等工具汉化版被黑客植入后门,并得到360等安全厂商证实和查杀。今日晚间,新浪微博网友“团-长”再次透露,目前已有上万服务器遭PuTTY后门窃取密码,这个数字仍在持续增加。







汉化版PuTTY和WinSCP等软件被安置后门 QQ电脑管家发布预警并拦截

http://security.zdnet.com.cn/security_zone/2012/0131/2076403.shtml

ZDNet 应用安全 来源: ZDNET安全频道 2012年01月31日

近日中文版putty、WinSCP等多款软件被曝存在后门,可盗取服务器管理密码,提醒服务器管理员务必小心提防,安装官方软件,卸载汉化版软件,并及时修改管理员密码。QQ电脑管家安全中心已将该后门网站屏蔽,下载该后门软件亦可拦截。
  PuTTY是知名的Windows开源SSH管理工具,WinSCP是常用的开源SFTP工具。两者皆为免费、开源软件,其中PuTTY没有官方中文版,而WinSCP已经拥有官方中文版。近期已经有多名Linux服务器管理员爆出服务器密码被盗,导致服务器被完全控制,甚至植入木马。经查可能是由于内置后门的PuTTY和WinSCP工具导致,而这些内置后门的软件皆来源于搜索引擎中指向的非官方授权网站。
  

liyD9B9K0O162.jpg







  经查风险网站可能包含如下站点:
  ·Winscp中文站,http://www.winscp.cc/。
  ·Putty中文站,http://putty.org.cn/。
  ·Putty中文站,http://putty.ws/。
  三风险网站界面相同,并且使用相同的流量统计代码。

  服务器中招的症状可能包括:
  1、进程 .osyslog 或 .fsyslog 吃CPU超过100~1000%(O与F 可能为随机)
  2、有网络连接往 98.126.55.226:82 大概为主控
  3、机器疯狂外发数据
  4、/var/log被删除
  5、/etc/init.d/sshd被修改

  检查是否中招的方法:
  搜索 /etc/.fsyslog   与     /lib/.fsyslog文件是否存在。

  中招后的应对方法:
  如果你的服务器已经遭到风险威胁,可以尝试更改SSH连接端口,让攻击者找不到入口。
  另外,也希望网站技术人员从官方下载软件使用,卸载该汉化版软件。

  软件官方网站:
  PuTTY:http://www.putty.org/        WinSCP:http://winscp.net

http://security.zdnet.com.cn/security_zone/2012/0131/2076403.shtml





现象、如图:

155101gvjjr9jw2otr82n8.jpg


SFTP中查看目录 下 文件  .fsyslog

222.jpg




如果您的服务器出现如下问题:
  1.进程 .osyslog 或 .fsyslog 吃CPU超过100~1000% (O与F 可能为随机)
  2.有网络连接往 98.126.55.226:82(大概为主控)
  3.机器疯狂外发数据
  4./var/log被删除
  5.同IP旁扫出现一个域名 oxoddos.com 并且站点名带中文

  请立即检查系统安全性!

  同时,可能会/etc/init.d/sshd文件被修改:
  #!/bin/bash
  auto
  /lib/.fsyslog
  #
  # chkconfig: 2345 55 25
  # description: OpenSSH server daemon
  #
  # processname: sshd
  只要重启sshd,就被自动更改

  同时建立一个到美国IP的TCP连接:98.126.55.226:82
  增加了fsyslog(或osyslog)进程,耗费CPU严重
  /var/log目录经常被删除
  /etc 和/lib 目录 下多了很多隐藏文件 . 开头的,如:

[root@www init.d]# ll -al /etc/.
./ .fsyslog .fsyslog.2 .fsyslog.4 .fsyslog.6 .osyslog.1 .osyslog.3 .osyslog.5 .pwd.lock
../ .fsyslog.1 .fsyslog.3 .fsyslog.5 .osyslog .osyslog.2 .osyslog.4 .osyslog.6

[root@www init.d]# ll -al /lib/.fsyslog
-rwxr-xr-x 1 root root 328056 01-17 19:26 /lib/.fsyslog

  需要同时检查sshd和sendmail启动文件,注释掉auto 和/lib/.fsyslog 两行,再
  chmod 4500 /etc/init.d/sendmail
  chmod 4500 /etc/init.d/sshd
  rm /etc/.osyslog* -f
  rm /etc/.fsyslog* -f
  rm /lib/.fsyslog -f
  rm -f /lib/.osyslog

图片附件: liyD9B9K0O162.jpg (2012-2-1 12:33, 22.58 KB) / 下载次数 709
http://idc866.com/attachment.php?aid=2114&k=8de5fe1b856fd61aaf5d5ed75487c3ed&t=1732781756&sid=ZhQtG0



图片附件: 155101gvjjr9jw2otr82n8.jpg (2012-2-3 16:12, 61.92 KB) / 下载次数 723
http://idc866.com/attachment.php?aid=2116&k=e9f9e48c1e353b0d534ffedff6e787ca&t=1732781756&sid=ZhQtG0



图片附件: 222.jpg (2012-2-3 16:34, 54.04 KB) / 下载次数 686
http://idc866.com/attachment.php?aid=2117&k=cff8ef217dbd3e696b0a5526a4f2699c&t=1732781756&sid=ZhQtG0

作者: idc886    时间: 2012-2-1 12:39

PuTTY内置后门事件发酵:已致上万账户信息泄露

2012-1-31 19:31 TechWeb


http://www.jmnews.com.cn/c/2012/01/31/19/c_6607053.shtml

imagesNT_20120131_192707_36118.jpg





 有知情人士透露,截至目前,PuTTY后门服务器受害账户已达到1万多,且仍在持续增加。(图片来源:新浪微博)
  【TechWeb报道】1月31日消息,经安全厂商证实,部分汉化版PuTTY、WinSCP、SSH Secure等开源软件存在后门程序,可能导致Linux服务器系统管理员密码及资料泄露。有知情人士透露,截至目前,PuTTY后门服务器受害账户已达到1万多,且仍在持续增加。
  据悉,PuTTY是知名的开源SSH管理工具,WinSCP是常用的开源SFTP工具,均能远程登录Linux服务器实施操作。两者皆为免费、开源软件,其中PuTTY从没有官方中文版,而WinSCP已经拥有官方中文版。最近有Linux服务器管理员发现,上述工具的非官方“汉化版”疑似内置后门,部分网站和企业服务器已因此遭到黑客攻击,导致系统root密码泄漏以及资料泄漏。
  经金山、360等多家安全厂商检测,国内部分下载站提供的PuTTY等工具“汉化版”带有恶意代码,可能导致Linux服务器最高权限被盗,受影响网站甚至存在被黑客“拖库”泄密的风险。
  今天下午,有安全业界知情人士透露,截至目前,PuTTY后门服务器后查询受害账户已达到1万多,且仍在持续增加,目前仍有受害者的密码在向该服务器发送。
  该后门事件被报道后,引发诸多安全厂商和从业者关注。业内人士称,PuTTY等软件本身是开源的,汉化版属于“被人动了手脚”,安全性往往难以保障。由于此次安全漏洞直接关乎linux服务器管理员数据安全,一旦管理员权限被盗,管理员手中掌握的服务器数据将可能面临全面泄露风险,一旦被攻陷,危害程度可能超过此前的CSDN(微博)等互联网企业泄密事件。
  对此安全厂商建议Linux系统管理员应立刻卸载这些汉化版软件,并尽快修改管理员密码。如果服务器已经遭到风险威胁,可以尝试更改SSH连接端口,让攻击者找不到入口。
  不过值得注意的是,截至今天中午之前,在百度搜索PuTTY和WinSCP这两款软件,均出现了竞价广告,并指向非官方授权的中文打包分发网站。据知情人士称,此事被曝光后,百度方面已经着手处理,将这两款软件的广告从竞价排名中去除。(恰克)

图片附件: imagesNT_20120131_192707_36118.jpg (2012-2-1 12:39, 54.63 KB) / 下载次数 725
http://idc866.com/attachment.php?aid=2115&k=3d06a7baa5a560c65533d8e8d0f8ec93&t=1732781756&sid=ZhQtG0

作者: 雨夜里    时间: 2012-2-1 14:07

呵呵 QQ电脑管家也有出来这个消息~
作者: wykjk    时间: 2016-7-23 18:00

我已经用过了LNMP官方介绍的PuTTY中文了啊  不会已经中招了吧?



欢迎光临 免费国外空间,国外免费空间, (http://idc866.com/) Powered by Discuz! 7.2