IT运维管理,创造商业价值!
中国IT运维网首页 | 资讯中心 | 运维管理 | 信息安全 | CIO视界 | 云计算 | 最佳案例 | 运维资源 | 专题策划 | 知识库 | 论坛

Putty汉化版被爆存在后门 可窃取管理员帐号

2012年02月02日
51CTO整理/互联网

经金山毒霸安全中心验证, PuTTY、WinSCP和SSH Secure这三款Linux服务器管理软件的汉化版本存在后门程序,可窃取管理员帐号,从而完全控制Linux服务器。

根据业内安全人士掌握并分享的数据,至目前,PuTTY后门服务器受害账户已达到1万多,且仍在持续增加。

对此,安全厂商建议Linux系统管理员应立刻卸载这些汉化版软件,并尽快修改管理员密码。如果服务器已经遭到风险威胁,可以尝试更改SSH连接端口,让攻击者找不到入口。

相关工具的英文版下载链接:

putty: http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

winscp: http://sourceforge.net/projects/winscp/files/WinSCP/4.3.6/winscp436setup.exe/download

ssh secure shell client: 这款工具的英文版已经很久没有更新过,最后一个版本3.2.9可以在很多国外大学的网站下载到,比如这里。

微博上有不少相关消息,摘抄部分如下:

·这件事儿怎么发现的?

@团-长 : 某大牛渗透 putty后门服务器……

·事件当前的影响情况如何?

@杨冀龙 : 这次ssh客户端软件伪中文版,窃取服务器root密码近3万条,hp,ibm,oracle等大公司也中招,不过最让人担心的是web.sourceforge.net中招,估计很多开源软件也中招了。

王文文IT:关于putty汉化版后门事件受影响的IP http://t.cn/zOPIMsf 感谢 @团-长 和 @叽咕海 提供的线索

@李铁军:汉化版putty后门简单分析报告:http://t.cn/zOP5jIB,英文版putty没有问题。在用户输入完密码和用户名时,程序会将病毒需要的信息(用户名密码)包保存起来发送到远程ASP空间。这个传播带毒putty的网站在中文网站中排名为64173,已相当靠前。现在还很难估计有多少linux系统管理员受害。

@团-长 : 由于“Putty中文版”后门地址存在Sql注入所以可以查到所有记录,但下午14时左右可能被人调用del 做注入查询导致所有记录被清,目前只能找到这些供各位自查,还请有关部门处理后门事件,避免更多的服务器受到影响。 http://t.cn/zOP5mqS

·防备和补救思路

panjiepan:刚看了一下putty/winscp的官方网站英文版的下载页面都不是https的,下英文版的也不一定保险。。。如果某些路由上有人要使坏的话。。。

@南非蜘蛛 : 大家都说用官网putty,感觉事不关己?但是你的运维团队有一个人用了有问题的putty,你的服务器是不是就沦陷了那?大局为重。

感想:Stallman再次对了,不开源的软件终归是要绑架用户的。这种管理员工具,有开源的尽量用开源的吧,下载后check一下md5,至少存在后门的可能性还是少点。远离来路不明的汉化版、破解、盗版软件,会让你的机器活得长久些。

转载链接:http://os.51cto.com/art/201202/314269.htm

发表评论请到:http://bbs.cnitom.com

相关阅读

图文热点

2012年五个最致命的移动恶意软件排行
2012年五个最致命的移动恶意软件排行虽然与针对电脑的恶意软件相比,针对移动设备的恶意软件数量仍然不多,但攻击者正...
Linux也用杀软 5个最佳免费Linux杀毒软件
Linux也用杀软 5个最佳免费Linux杀毒软件Linux的防病毒软件,开玩笑吧?Linux不是很安全吗?很多Linux新手都这样认为,看...

本类热点