全球主机交流论坛
标题:
中文版putty等SSH远程管理工具被曝出存在后门
[打印本页]
作者:
oldghost
时间:
2012-2-11 16:21
标题:
中文版putty等SSH远程管理工具被曝出存在后门
本帖最后由 oldghost 于 2012-2-11 16:22 编辑
刚收到阿里云的mail关于前一阵子putty带后门的问题,以及检查和解决方法,供大家参考。
尊敬的阿里云用户:
您好!
近日,阿里云·云盾安全服务中心发现:中文版putty等SSH远程管理工具被曝出存在后门,该后门会自动窃取管理员所输入的SSH用户名与口令,并将其发送至指定云服务器上。对此进行分析,预计影响范围:中文版putty、 WinSCP、SSHSecure和psftp等软件,而这些软件的英文版本不受影响。
分析细节如下,请您重点关注:
一、受影响的云服务器特征
1.进程 .osyslog 或 .fsyslog 消耗CPU超过100~1000% ( .osyslog与 .fsyslog可能为随机)
2.有网络连接往 98.126.55.226:82(大概为主控)
3.机器疯狂外发数据
4./var/log被删除
5.同IP旁扫出现一个域名 oxoddos.com 并且站点名带中文
二、检查方法
若云服务器或终端出现上述情况,可参照以下方法检查,确认是否受影响。
1. 服务器:
方法1.etc目录下存在.fsyslog或者.osyslog文件;
方法2.lib目录下存在.fsyslog或者.osyslog文件。
2. 个人终端:
目前的杀毒软件基本支持该后门的检测,所以个人终端只需更新杀毒软件至最新版本,然后做整体的扫描检查。
三、修补建议
若受到影响,请参照如下步骤进行修补:
1.卸载中文版putty,WinSCP,SSH Secure;
2.下载官方的PUTTY,WinSCP,SSH Secure重新安装;
3.修改云服务器等的登录信息。
温馨提醒:官方链接
http://www.putty.org
http://winscp.net
http://www.ssh.com/
四、问题下载源
以下链接已确认其下载文件存在后门:
putty.ws
www.putty.org.cn
www.winscp.cc
www.sshsecure.com
阿里云计算官方
2012年2月10日
作者:
我是人
时间:
2012-2-11 16:23
本帖最后由 我是人 于 2012-2-11 16:25 编辑
哦。。。又出现了。
http://loc.193.gs/search.ph ... it=yes&kw=putty
作者:
ㄒiger
时间:
2012-2-11 16:23
老新闻了
作者:
用户名
时间:
2012-2-11 16:23
不是第一天了
作者:
nop
时间:
2012-2-11 16:25
现在才发现~
作者:
辰景
时间:
2012-2-11 16:27
貌似已经过了很久了
作者:
ivv
时间:
2012-2-11 16:31
火星了
作者:
信仰
时间:
2012-2-11 16:33
老早的事情了~
作者:
店长推荐
时间:
2012-2-11 16:42
后知后觉
作者:
苁林老鬼
时间:
2012-2-11 16:43
都很久了
作者:
大胡子
时间:
2012-2-11 16:44
我是第一个爆料的
作者:
gdsz51
时间:
2012-2-11 17:31
。。。早知道了
作者:
有个就好
时间:
2012-2-11 18:39
Mark
作者:
天朝良民
时间:
2012-2-11 18:42
还是用原版软件最好
作者:
weishimi
时间:
2012-2-11 18:54
中国真是太危险了、
作者:
lianjack
时间:
2012-2-11 21:11
我用了,,,,,,
作者:
公鸡
时间:
2012-2-12 09:36
weishimi 发表于 2012-2-11 18:54
中国真是太危险了、
地球很危险,不适合人类
作者:
osiris
时间:
2012-2-12 09:37
公鸡 发表于 2012-2-12 09:36
地球很危险,不适合人类
地球很危险,不适合生物.
欢迎光临 全球主机交流论坛 (https://loc.193.gs/)
Powered by Discuz! X3.4
老新闻了
都很久了
我是第一个爆料的
