微信登录
QQ登录
会员登录
注册帐号
设为首页
加入收藏
手机版
换风格
关注我们:
加微博
加微信
打开微信扫一扫
0536-3291910
举报邮箱:9626482@qq.com
搜索
搜 索
本版
文章
帖子
群组
用户
首页
Portal
论坛
BBS
招聘
房产
交友
相亲
汽车
签到
导读
Guide
排行榜
Ranklist
每日签到
资讯
热点资讯
楼市风向
图片中心
职场动态
房产
新房
二手房
求租求购
中介
出租房
地图找房
分类
征婚交友
跳蚤市场
发布信息
车辆服务
商业服务
管理信息
工作
找工作
找人才
填简历
发职位
生活
今日团购
便民黄页
礼品兑换
视频逛街
优惠打折
商家入驻
青州论坛
»
论坛
›
生活娱乐
›
通讯数码
›
中文版putty、WinSCP、SSH Secure后门!请立即更新
猜你喜欢
大姐,你就这样给孩
青州市天硕幼儿园部
青州公安对跨境网络
大家都来避坑水果街
丰田凯美瑞这么吓人
店铺转让
齐王路英科医疗至华松塑业路段污染严
泰山5-1大胜河南中超收官
大姐,你就这样给孩子“做榜样”?
路何时能顺利通行
家用煤气罐
返回列表
查看:
1574
|
回复:
0
[手机玩家]
中文版putty、WinSCP、SSH Secure后门!请立即更新
[复制链接]
小主人报学校
小主人报学校
当前离线
积分
55
4
主题
49
回帖
55
积分
列兵
列兵, 积分 55, 距离下一级还需 245 积分
列兵, 积分 55, 距离下一级还需 245 积分
积分
55
收听TA
发消息
发表于 2012-1-31 16:00:55
|
显示全部楼层
|
阅读模式
更正
:刚开始游侠把SSH Secure写成了SecureCRT,事实上目前为止后者尚未出问题。
凡是使用中文版putty、WinSCP、SSH Secure的用户请注意,它们很可能带有病毒,会导致root密码被盗走,进而盗取或破坏数据,利用服务器发攻击包等。
昨晚新浪微博的GrimCoder给给游侠(
www.youxia.org
)发消息,说中文版putty和winscp可能被植入后门;然后Mir_4ll3n又发了个文章;早上看到南非蜘蛛又贴了2个地址证实。今天早上游侠就综合下吧:
如果您的服务器出现如下问题:
1.进程 .osyslog 或 .fsyslog 吃CPU超过100~1000% (O与F 可能为随机)
2.有网络连接往 98.126.55.226:82(大概为主控)
3.机器疯狂外发数据
4./var/log被删除
5.同IP旁扫出现一个域名 oxoddos.com 并且站点名带中文
请立即检查系统安全性!
同时,可能会/etc/init.d/sshd文件被修改:
#!/bin/bash
auto
/lib/.fsyslog
#
# chkconfig: 2345 55 25
# description: OpenSSH server daemon
#
# processname: sshd
只要重启sshd,就被自动更改
同时建立一个到美国IP的TCP连接:98.126.55.226:82
增加了fsyslog(或osyslog)进程,耗费CPU严重
/var/log目录经常被删除
/etc 和/lib 目录 下多了很多隐藏文件 . 开头的,如:
[root
@www
init.d]# ll -al /etc/.
./ .fsyslog .fsyslog.2 .fsyslog.4 .fsyslog.6 .osyslog.1 .osyslog.3 .osyslog.5 .pwd.lock
../ .fsyslog.1 .fsyslog.3 .fsyslog.5 .osyslog .osyslog.2 .osyslog.4 .osyslog.6
[root
@www
init.d]# ll -al /lib/.fsyslog
-rwxr-xr-x 1 root root 328056 01-17 19:26 /lib/.fsyslog
需要同时检查sshd和sendmail启动文件,注释掉auto 和/lib/.fsyslog 两行,再
chmod 4500 /etc/init.d/sendmail
chmod 4500 /etc/init.d/sshd
rm /etc/.osyslog* -f
rm /etc/.fsyslog* -f
rm /lib/.fsyslog -f
rm -f /lib/.osyslog
拾梦(
www.bugbeta.cn
)专门下载了一个中文版的WinSCP,发现密码输入错误后,不让终止:
目前临时解决办法
·到官网网站下载SSH软件并安装
·立即更改SSH服务端口
·可使用密匙认证(好像不受影响)
·参照上文检查sshd和sendmail启动文件
·修改SSH服务器密码(游侠提醒:要处理好上面几步之后再修改密码)
同时游侠建议您,请在正规网站下载putty、WinSCP、SSH Secure,如:
putty:
http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
WinSCP:
http://sourceforge.net/projects/ ... 6setup.exe/download
游侠在百度搜索了下putty、WinSCP、SSH Secure
已知可能存在问题的站点:
hxxp://www.putty.org.cn
hxxp://putty.ws
hxxp://www.winscp.cc
hxxp://www.sshsecure.com
第一个网站的whois信息:
putty和WinSCP是免费软件。但是很明显的:居然都在百度做竞价推广,这一点就非常说明问题!
既然做百度推广,就必然要交费,必然有地址!(换一种说法:出现这样的问题,百度难逃其咎)建议公安部门从百度竞价入手,追查相关责任人!
PS:
不是所有的中文版、汉化版都有问题。
因这三款软件的版本较多,游侠无法一一验证。请自行鉴别。
整理:
www.youxia.org
游侠安全网
感谢:
weibo.com GrimCoder(爆料人)
weibo.com Mir_4ll3n
weibo.com 南非蜘蛛
www.bugbeta.cn
拾梦(现身说法)
www.hostloc.com
用户名
www.zijidelu.org
爱洞特漏
回复
使用道具
举报
返回列表
使用
高级模式
(可批量传图、插入视频等)
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
写好了,发布
回帖后跳转到最后一页
社区居民
拥有帐号并登录即可获得此勋章.
快速回复
返回顶部
返回列表