1月31日,據“游俠安全網”站長發布消息稱,國內流行的Linux服務器遠程登錄工具PuTTY、WinSCP、SSH Secure等工具漢化版被黑客植入后門,并得到360等安全廠商證實和查殺。今日晚間,新浪微博網友“團-長”再次透露,目前已有上萬服務器遭PuTTY后門竊取密碼,這個數字仍在持續增加。
圖1:網友透露PuTTY后門受害者已經過萬
據專業機構分析,被植入后門的漢化版PuTTY、WinSCP、SSH Secure會在用戶輸入所有信息,服務器驗證密碼及用戶名信息前,植入“發送服務器地址、用戶名、密碼到特定ASP空間”的惡意邏輯命令,導致用戶服務器信息被黑客暗中竊取。
| <script type="text/javascript" src="http://g.hsw.cn/js_wei/287.js"> |
如有用戶使用非官方授權的漢化版PuTTY等工具,服務器可能出現如下中招癥狀:進程.osyslog或.fsyslog吃CPU超過100~1000%(O與F可能為隨機);機器瘋狂向外發送數據;/var/log被刪除;/etc/init.d/sshd被修改。同時,目前已有網民通過微盤公布了受影響的服務器IP/域名,服務器管理員可以在其中檢索自己是否中招。
經驗證,目前國內主流安全軟件均已對內置后門的PuTTY等工具漢化包進行查殺。當電腦用戶訪問提供PuTTY后門下載的網站時,360安全衛士還會彈出警報,并指向正牌的PuTTY官方網址。
圖2:360攔截暗藏后門的PuYYT下載站
根據此前360安全中心發布的公告,服務器系統維護人員應選擇官方網站下載使用各類工具軟件。如服務器已經遭到惡意威脅,可以嘗試更改SSH連接端口,并盡快刪除可疑來源的“漢化版”PuTTY等工具,第一時間更換管理員密碼。(文/樂購網--www.lg1o100.com)
推薦閱讀
Lgo100訊 春節過年回來,節后綜合癥進入高發期,電腦也容易在更新軟件等過程中出些小毛>>>詳細閱讀
地址:http://www.xglongwei.com/a/11/20120201/27382.html
網友點評
精彩導讀
科技快報
品牌展示