部分中文版PuTTY和WinSCP軟件內(nèi)置后門

send_linux

近期已經(jīng)有多名Linux服務(wù)器管理員爆出服務(wù)器被惡意攻擊，導(dǎo)致系統(tǒng)root密碼泄漏以及資料泄漏，經(jīng)查可能是由于內(nèi)置后門的PuTTY和WinSCP工具導(dǎo)致。

PuTTY是知名的Windows開源SSH管理工具，WinSCP是常用的開源SFTP工具。兩者皆為免費(fèi)、開源軟件，其中PuTTY從沒有官方中文版，而WinSCP已經(jīng)擁有官方中文版。

但是在百度搜索這兩款軟件，均出現(xiàn)了競(jìng)價(jià)廣告，并指向非官方授權(quán)的中文打包分發(fā)網(wǎng)站。不熟悉相關(guān)軟件的朋友，可能下載到包含后門的SSH連接工具。

經(jīng)查風(fēng)險(xiǎn)網(wǎng)站可能包含如下站點(diǎn)：

Winscp中文站，http://www.winscp.cc/。

Putty中文站，http://putty.org.cn/。

Putty中文站，http://putty.ws/。

三風(fēng)險(xiǎn)網(wǎng)站界面相同，并且使用相同的流量統(tǒng)計(jì)代碼。下載未經(jīng)授權(quán)的中文打包軟件，可能導(dǎo)致服務(wù)器管理員密碼泄漏、資料泄漏以及服務(wù)器風(fēng)險(xiǎn)。  服務(wù)器中招的癥狀可能包括：

進(jìn)程 .osyslog 或 .fsyslog 吃CPU超過100~1000%（O與F 可能為隨機(jī)）

有網(wǎng)絡(luò)連接往 98.126.55.226:82 大概為主控

機(jī)器瘋狂外發(fā)數(shù)據(jù)

/var/log被刪除

/etc/init.d/sshd被修改

如果你的服務(wù)器已經(jīng)遭到風(fēng)險(xiǎn)威脅，可以嘗試更改SSH連接端口，讓攻擊者找不到入口。RTdot會(huì)將相關(guān)風(fēng)險(xiǎn)報(bào)告給相關(guān)安全廠商，希望網(wǎng)站技術(shù)人員從官方下載軟件使用。

PuTTY，http://www.putty.org/。

WinSCP，http://winscp.net。

引用來源：bugbeta、hostloc、zijidelu

檢查是否中招的方法：搜索 /etc/.fsyslog /lib/.fsyslog文件是否存在。

2012年1月31日 12:09:18 更新

金山毒霸、360安全衛(wèi)士均已通過官方微博證實(shí)消息，將通過措施封殺相關(guān)后門網(wǎng)址，并建議用戶刪除相關(guān)軟件。百度內(nèi)部人士透露，正在積極進(jìn)行內(nèi)部清查，將相關(guān)競(jìng)價(jià)排名服務(wù)下線。

2012年1月31日 13:21:34 更新

PuTTY、WinSCP、SSH Secure三個(gè)關(guān)鍵詞的競(jìng)價(jià)廣告已經(jīng)撤下，百度方面尚未給出正式回應(yīng)，事件暫告一段落�；ヂ�(lián)網(wǎng)風(fēng)險(xiǎn)無處不在，下載軟件需謹(jǐn)慎。文：RTdot銳推

站長之家（2012年1月31日 15:10）跟進(jìn)報(bào)道：截止到發(fā)稿，QQ電腦管家安全中心、金山毒霸安全中心、360安全衛(wèi)士都已通過微博發(fā)布緊急預(yù)警，提示網(wǎng)站管理員注意此事件。

另據(jù)微博用戶稱，某“技術(shù)人士”滲透putty后門服務(wù)器，通過查詢得知受害賬戶約1萬多， 目前仍有受害者的密碼在向該服務(wù)器發(fā)送。

defcon

呃。。。真是道高一尺魔高一丈啊，某技術(shù)人士的技術(shù)真是牛啊

yuriyan

什么都用原版的漂過...

liubingqian

這種軟件也得用“中文版”，活該。

chenyx

還是用E文原版吧

xukui44

一直使用CRT飄過

huolefo

唉，小心了，服了，要是出問題就完了

see_3000

有英文軟件，就不使用中文軟件的飄過， 從不用baidu

weishigoname

chenyx

目前據(jù)說用key登陸的情況下不受影響