近日漢化版putty、WinSCP等多款軟件被曝存在后門,可盜取服務器管理密碼,提醒服務器管理員務必小心提防,安裝官方軟件,卸載漢化版軟件,并及時修改管理員密碼。QQ電腦管家安全中心已將該后門網站屏蔽,下載該后門軟件亦可攔截。
PuTTY是知名的Windows開源SSH管理工具,WinSCP是常用的開源SFTP工具。兩者皆為免費、開源軟件,其中PuTTY沒有官方中文版,而WinSCP已經擁有官方中文版。近期已經有多名Linux服務器管理員爆出服務器密碼被盜,導致服務器被完全控制,甚至植入木馬。經查可能是由于內置后門的PuTTY和WinSCP工具導致,而這些內置后門的軟件皆來源于搜索引擎中指向的非官方授權網站。
經查風險網站可能包含如下站點:
·Winscp中文站,http://www.winscp.cc/。
·Putty中文站,http://putty.org.cn/。
·Putty中文站,http://putty.ws/。
三風險網站界面相同,并且使用相同的流量統計代碼。
服務器中招的癥狀可能包括:
1、進程 .osyslog 或 .fsyslog 吃CPU超過100~1000%(O與F 可能為隨機)
2、有網絡連接往 98.126.55.226:82 大概為主控
3、機器瘋狂外發數據
4、/var/log被刪除
5、/etc/init.d/sshd被修改
檢查是否中招的方法:
搜索 /etc/.fsyslog /lib/.fsyslog文件是否存在。
中招后的應對方法:
如果你的服務器已經遭到風險威脅,可以嘗試更改SSH連接端口,讓攻擊者找不到入口。
另外,也希望網站技術人員從官方下載軟件使用,卸載該漢化版軟件。
軟件官方網站:
PuTTY,http://www.putty.org/。WinSCP,http://winscp.net。
QQ電腦管家下載保護可攔截藏有后門的putty軟件包
QQ電腦管家已屏蔽后門網站
(新聞稿 2012-01-31)