1月31日,據(jù)“游俠安全網(wǎng)”站長發(fā)布消息稱,國內(nèi)流行的Linux服務(wù)器遠(yuǎn)程登錄工具PuTTY、WinSCP、SSH Secure等工具漢化版被黑客植入后門,并得到360等安全廠商證實(shí)和查殺。今日晚間,新浪微博網(wǎng)友“團(tuán)-長”再次透露,目前已有上萬服務(wù)器遭PuTTY后門竊取密碼,這個(gè)數(shù)字仍在持續(xù)增加。
圖1:網(wǎng)友透露PuTTY后門受害者已經(jīng)過萬
據(jù)專業(yè)機(jī)構(gòu)分析,被植入后門的漢化版PuTTY、WinSCP、SSH Secure會在用戶輸入所有信息,服務(wù)器驗(yàn)證密碼及用戶名信息前,植入“發(fā)送服務(wù)器地址、用戶名、密碼到特定ASP空間”的惡意邏輯命令,導(dǎo)致用戶服務(wù)器信息被黑客暗中竊取。
| <script type="text/javascript" src="http://g.hsw.cn/js_wei/287.js"> |
如有用戶使用非官方授權(quán)的漢化版PuTTY等工具,服務(wù)器可能出現(xiàn)如下中招癥狀:進(jìn)程.osyslog或.fsyslog吃CPU超過100~1000%(O與F可能為隨機(jī));機(jī)器瘋狂向外發(fā)送數(shù)據(jù);/var/log被刪除;/etc/init.d/sshd被修改。同時(shí),目前已有網(wǎng)民通過微盤公布了受影響的服務(wù)器IP/域名,服務(wù)器管理員可以在其中檢索自己是否中招。
經(jīng)驗(yàn)證,目前國內(nèi)主流安全軟件均已對內(nèi)置后門的PuTTY等工具漢化包進(jìn)行查殺。當(dāng)電腦用戶訪問提供PuTTY后門下載的網(wǎng)站時(shí),360安全衛(wèi)士還會彈出警報(bào),并指向正牌的PuTTY官方網(wǎng)址。
圖2:360攔截暗藏后門的PuYYT下載站
根據(jù)此前360安全中心發(fā)布的公告,服務(wù)器系統(tǒng)維護(hù)人員應(yīng)選擇官方網(wǎng)站下載使用各類工具軟件。如服務(wù)器已經(jīng)遭到惡意威脅,可以嘗試更改SSH連接端口,并盡快刪除可疑來源的“漢化版”PuTTY等工具,第一時(shí)間更換管理員密碼。(文/樂購網(wǎng)--www.lg1o100.com)
推薦閱讀
Lgo100訊 春節(jié)過年回來,節(jié)后綜合癥進(jìn)入高發(fā)期,電腦也容易在更新軟件等過程中出些小毛>>>詳細(xì)閱讀
本文標(biāo)題:PuTTY“后門”最新進(jìn)展 上萬服務(wù)器密碼泄露
地址:http://www.oumuer.cn/a/11/20120201/27382.html
網(wǎng)友點(diǎn)評
精彩導(dǎo)讀
科技快報(bào)
品牌展示