1月31日,據(jù)“游俠安全網(wǎng)”站長發(fā)布消息稱,國內(nèi)流行的Linux服務(wù)器遠(yuǎn)程登錄工具PuTTY、WinSCP、SSH Secure等工具漢化版被黑客植入后門,并得到360等安全廠商證實和查殺。今日晚間,新浪微博網(wǎng)友“團(tuán)-長”再次透露,目前已有上萬服務(wù)器遭PuTTY后門竊取密碼,這個數(shù)字仍在持續(xù)增加。
圖1:網(wǎng)友透露PuTTY后門受害者已經(jīng)過萬
據(jù)專業(yè)機(jī)構(gòu)分析,被植入后門的漢化版PuTTY、WinSCP、SSH Secure會在用戶輸入所有信息,服務(wù)器驗證密碼及用戶名信息前,植入“發(fā)送服務(wù)器地址、用戶名、密碼到特定ASP空間”的惡意邏輯命令,導(dǎo)致用戶服務(wù)器信息被黑客暗中竊取。
如有用戶使用非官方授權(quán)的漢化版PuTTY等工具,服務(wù)器可能出現(xiàn)如下中招癥狀:進(jìn)程.osyslog或.fsyslog吃CPU超過100~1000%(O與F 可能為隨機(jī));機(jī)器瘋狂向外發(fā)送數(shù)據(jù);/var/log被刪除;/etc/init.d/sshd被修改。同時,目前已有網(wǎng)民通過微盤公布了受影響的服務(wù)器IP/域名,服務(wù)器管理員可以在其中檢索自己是否中招。
經(jīng)驗證,目前國內(nèi)主流安全軟件均已對內(nèi)置后門的PuTTY等工具漢化包進(jìn)行查殺。當(dāng)電腦用戶訪問提供PuTTY后門下載的網(wǎng)站時,360安全衛(wèi)士還會彈出警報,并指向正牌的PuTTY官方網(wǎng)址。
圖2:360攔截暗藏后門的PuYYT下載站
根據(jù)此前360安全中心發(fā)布的公告,服務(wù)器系統(tǒng)維護(hù)人員應(yīng)選擇官方網(wǎng)站下載使用各類工具軟件。如服務(wù)器已經(jīng)遭到惡意威脅,可以嘗試更改SSH連接端口,并盡快刪除可疑來源的“漢化版”PuTTY等工具,第一時間更換管理員密碼。
推薦閱讀
360稱春節(jié)攔截垃圾欺詐短信達(dá)1.4億條>>>詳細(xì)閱讀
本文標(biāo)題:PuTTY“后門”最新進(jìn)展:上萬服務(wù)器密碼持續(xù)泄露
地址:http://www.xglongwei.com/a/11/20120131/27167.html
網(wǎng)友點評
精彩導(dǎo)讀
科技快報
品牌展示