近期已經有多名Linux伺服器管理員爆出伺服器被惡意攻擊,導致系統root密碼洩漏以及資料洩漏,經查可能是由於內置後門的PuTTY和WinSCP工具導致。
PuTTY是知名的Windows開源SSH管理工具,WinSCP是常用的開源SFTP工具。兩者皆為免費、開源軟體,其中PuTTY從沒有官方中文版,而WinSCP已經擁有官方中文版。
但是在百度搜索這兩款軟體,均出現了競價廣告,並指向非官方授權的中文打包分發網站。不熟悉相關軟體的朋友,可能下載到包含後門的SSH連接工具。
經查風險網站可能包含如下站點:
Winscp中文站,http://www.winscp.cc/。
Putty中文站,http://putty.org.cn/。
Putty中文站,http://putty.ws/。
三風險網站界面相同,並且使用相同的流量統計代碼。下載未經授權的中文打包軟體,可能導致伺服器管理員密碼洩漏、資料洩漏以及伺服器風險。 伺服器中招的症狀可能包括:
進程 .osyslog 或 .fsyslog 吃CPU超過100~1000%(O與F 可能為隨機)
有網絡連接往 98.126.55.226:82 大概為主控
機器瘋狂外發數據
/var/log被刪除
/etc/init.d/sshd被修改
如果你的伺服器已經遭到風險威脅,可以嘗試更改SSH連接埠,讓攻擊者找不到入口。RTdot會將相關風險報告給相關安全廠商,希望網站技術人員從官方下載軟體使用。
PuTTY,http://www.putty.org/。
WinSCP,http://winscp.net。
引用來源:bugbeta、hostloc、zijidelu
檢查是否中招的方法:搜索 /etc/.fsyslog /lib/.fsyslog文件是否存在。
2012年1月31日 12:09:18 更新
金山毒霸、360安全衛士均已通過官方微博證實消息,將通過措施封殺相關後門網址,並建議用戶刪除相關軟體。百度內部人士透露,正在積極進行內部清查,將相關競價排名服務下線。
2012年1月31日 13:21:34 更新
PuTTY、WinSCP、SSH Secure三個關鍵詞的競價廣告已經撤下,百度方面尚未給出正式回應,事件暫告一段落。網際網路風險無處不在,下載軟體需謹慎。文:RTdot銳推
站長之家(2012年1月31日 15:10)跟進報導:截止到發稿,QQ電腦管家安全中心、金山毒霸安全中心、360安全衛士都已通過微博發布緊急預警,提示網站管理員注意此事件。
另據微博用戶稱,某「技術人士」滲透putty後門伺服器,通過查詢得知受害帳戶約1萬多, 目前仍有受害者的密碼在向該伺服器發送。