閱讀361 返回首頁    go 人物

中文版Putty、WinSCP、SSH Secure可能有後門!

緊急:中文版putty,WinSCP,SSH Secure後門!請立即更新

中文版putty、WinSCP、SSH Secure後門!請立即更新
參考鏈接:https://www.youxia.org/2012/01/putty-WinSCP-SecureCRT-Backdoor.html

https://baoz.net/putty-backdoor-exposed/

更正:剛開始遊俠把SSH Secure寫成了SecureCRT,事實上目前為止後者尚未出問題。

凡是使用中文版putty、WinSCP、SSH Secure的用戶請注意,它們很可能帶有病毒,會導致root密碼被盜走,進而盜取或破壞數據,利用服務器發攻擊包等。

昨晚新浪微博的GrimCoder給給遊俠(www.youxia.org)發消息,說中文版putty和winscp可能被植入後門;然後Mir_4ll3n又發了個文章;早上看到南非蜘蛛又貼了2個地址證實。今天早上遊俠就綜合下吧:

如果您的服務器出現如下問題:
1.進程 .osyslog 或 .fsyslog 吃CPU超過100~1000% (O與F 可能為隨機)
2.有網絡連接往 98.126.55.226:82(大概為主控)
3.機器瘋狂外發數據
4./var/log被刪除
5.同IP旁掃出現一個域名 oxoddos.com 並且站點名帶中文

請立即檢查係統安全性!

同時,可能會/etc/init.d/sshd文件被修改:
#!/bin/bash
auto
/lib/.fsyslog
#
# chkconfig: 2345 55 25
# description: OpenSSH server daemon
#
# processname: sshd
隻要重啟sshd,就被自動更改

同時建立一個到美國IP的TCP連接:98.126.55.226:82
增加了fsyslog(或osyslog)進程,耗費CPU嚴重
/var/log目錄經常被刪除
/etc 和/lib 目錄 下多了很多隱藏文件 . 開頭的,如:

[root@www init.d]# ll -al /etc/.
./ .fsyslog .fsyslog.2 .fsyslog.4 .fsyslog.6 .osyslog.1 .osyslog.3 .osyslog.5 .pwd.lock
../ .fsyslog.1 .fsyslog.3 .fsyslog.5 .osyslog .osyslog.2 .osyslog.4 .osyslog.6

[root@www init.d]# ll -al /lib/.fsyslog
-rwxr-xr-x 1 root root 328056 01-17 19:26 /lib/.fsyslog

需要同時檢查sshd和sendmail啟動文件,注釋掉auto 和/lib/.fsyslog 兩行,再
chmod 4500 /etc/init.d/sendmail
chmod 4500 /etc/init.d/sshd
rm /etc/.osyslog* -f
rm /etc/.fsyslog* -f
rm /lib/.fsyslog -f
rm -f /lib/.osyslog

拾夢(www.bugbeta.cn)專門下載了一個中文版的WinSCP,發現密碼輸入錯誤後,不讓終止:

目前臨時解決辦法
·到官網網站下載SSH軟件並安裝
·立即更改SSH服務端口
·可使用密匙認證(好像不受影響)
·參照上文檢查sshd和sendmail啟動文件
·修改SSH服務器密碼(遊俠提醒:要處理好上麵幾步之後再修改密碼)

同時遊俠建議您,請在正規網站下載putty、WinSCP、SSH Secure,如:
putty:https://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
WinSCP:https://sourceforge.net/projects/winscp/files/WinSCP/4.3.6/winscp436setup.exe/download

遊俠在百度搜索了下putty、WinSCP、SSH Secure

已知可能存在問題的站點:
hxxp://www.putty.org.cn
hxxp://putty.ws
hxxp://www.winscp.cc
hxxp://www.sshsecure.com

第一個網站的whois信息:

putty和WinSCP是免費軟件。但是很明顯的:居然都在百度做競價推廣,這一點就非常說明問題!

既然做百度推廣,就必然要交費,必然有地址!(換一種說法:出現這樣的問題,百度難逃其咎)建議公安部門從百度競價入手,追查相關責任人!

PS:
不是所有的中文版、漢化版都有問題。因這三款軟件的版本較多,遊俠無法一一驗證。請自行鑒別。

整理:www.youxia.org 遊俠安全網

感謝:
weibo.com GrimCoder(爆料人)
weibo.com Mir_4ll3n
weibo.com 南非蜘蛛
www.bugbeta.cn 拾夢(現身說法)
www.hostloc.com 用戶名

www.zijidelu.org 愛洞特漏

最後更新:2017-01-04 22:34:54

  上一篇:go MySQL下mysql.sock丟失問題的解決
  下一篇:go centos 6.2版本發布