近日中文版putty、WinSCP等多款軟體被曝存在後門,可盜取伺服器管理密碼,提醒伺服器管理員務必小心提防,安裝官方軟體,卸載漢化版軟體,並及時修改管理員密碼。QQ電腦管家安全中心已將該後門網站屏蔽,下載該後門軟體亦可攔截。
PuTTY是知名的Windows開源SSH管理工具,WinSCP是常用的開源SFTP工具。兩者皆為免費、開源軟體,其中PuTTY沒有官方中文版,而WinSCP已經擁有官方中文版。近期已經有多名Linux伺服器管理員爆出伺服器密碼被盜,導致伺服器被完全控制,甚至植入木馬。經查可能是由於內置後門的PuTTY和WinSCP工具導致,而這些內置後門的軟體皆來源於搜尋引擎中指向的非官方授權網站。
經查風險網站可能包含如下站點:
·Winscp中文站,http://www.winscp.cc/。
·Putty中文站,http://putty.org.cn/。
·Putty中文站,http://putty.ws/。
三風險網站界面相同,並且使用相同的流量統計代碼。
伺服器中招的症狀可能包括:
1、進程 .osyslog 或 .fsyslog 吃CPU超過100~1000%(O與F 可能為隨機)
2、有網絡連接往 98.126.55.226:82 大概為主控
3、機器瘋狂外發數據
4、/var/log被刪除
5、/etc/init.d/sshd被修改
檢查是否中招的方法:
搜索 /etc/.fsyslog /lib/.fsyslog文件是否存在。
中招後的應對方法:
如果你的伺服器已經遭到風險威脅,可以嘗試更改SSH連接埠,讓攻擊者找不到入口。
另外,也希望網站技術人員從官方下載軟體使用,卸載該漢化版軟體。
軟體官方網站:
PuTTY,http://www.putty.org/。WinSCP,http://winscp.net。
(QQ電腦管家下載保護可攔截藏有後門的putty軟體包)
(QQ電腦管家已屏蔽後門網站)