1月31日,據(jù)“游俠安全網(wǎng)”站長(zhǎng)發(fā)布消息稱(chēng),國(guó)內(nèi)流行的Linux服務(wù)器遠(yuǎn)程登錄工具PuTTY、WinSCP、SSH Secure等工具漢化版被黑客植入后門(mén),并得到360等安全廠(chǎng)商證實(shí)和查殺。今日晚間,新浪微博網(wǎng)友“團(tuán)-長(zhǎng)”再次透露,目前已有上萬(wàn)服務(wù)器遭PuTTY后門(mén)竊取密碼,這個(gè)數(shù)字仍在持續(xù)增加。
圖1:網(wǎng)友透露PuTTY后門(mén)受害者已經(jīng)過(guò)萬(wàn)
據(jù)專(zhuān)業(yè)機(jī)構(gòu)分析,被植入后門(mén)的漢化版PuTTY、WinSCP、SSH Secure會(huì)在用戶(hù)輸入所有信息,服務(wù)器驗(yàn)證密碼及用戶(hù)名信息前,植入“發(fā)送服務(wù)器地址、用戶(hù)名、密碼到特定ASP空間”的惡意邏輯命令,導(dǎo)致用戶(hù)服務(wù)器信息被黑客暗中竊取。
| <script type="text/javascript" src="http://g.hsw.cn/js_wei/287.js"> |
如有用戶(hù)使用非官方授權(quán)的漢化版PuTTY等工具,服務(wù)器可能出現(xiàn)如下中招癥狀:進(jìn)程.osyslog或.fsyslog吃CPU超過(guò)100~1000%(O與F可能為隨機(jī));機(jī)器瘋狂向外發(fā)送數(shù)據(jù);/var/log被刪除;/etc/init.d/sshd被修改。同時(shí),目前已有網(wǎng)民通過(guò)微盤(pán)公布了受影響的服務(wù)器IP/域名,服務(wù)器管理員可以在其中檢索自己是否中招。
經(jīng)驗(yàn)證,目前國(guó)內(nèi)主流安全軟件均已對(duì)內(nèi)置后門(mén)的PuTTY等工具漢化包進(jìn)行查殺。當(dāng)電腦用戶(hù)訪(fǎng)問(wèn)提供PuTTY后門(mén)下載的網(wǎng)站時(shí),360安全衛(wèi)士還會(huì)彈出警報(bào),并指向正牌的PuTTY官方網(wǎng)址。
圖2:360攔截暗藏后門(mén)的PuYYT下載站
根據(jù)此前360安全中心發(fā)布的公告,服務(wù)器系統(tǒng)維護(hù)人員應(yīng)選擇官方網(wǎng)站下載使用各類(lèi)工具軟件。如服務(wù)器已經(jīng)遭到惡意威脅,可以嘗試更改SSH連接端口,并盡快刪除可疑來(lái)源的“漢化版”PuTTY等工具,第一時(shí)間更換管理員密碼。(文/樂(lè)購(gòu)網(wǎng)--www.lg1o100.com)
推薦閱讀
Lgo100訊 春節(jié)過(guò)年回來(lái),節(jié)后綜合癥進(jìn)入高發(fā)期,電腦也容易在更新軟件等過(guò)程中出些小毛>>>詳細(xì)閱讀
本文標(biāo)題:PuTTY“后門(mén)”最新進(jìn)展 上萬(wàn)服務(wù)器密碼泄露
地址:http://www.brh9h.cn/a/11/20120201/27382.html
網(wǎng)友點(diǎn)評(píng)
精彩導(dǎo)讀
科技快報(bào)
品牌展示