检查是否中了中文版putty、WinSCP、SSH Secure后门的方法

Captain

　
　　

转自：http://www.youxia.org/2012/01/putty-WinSCP-SecureCRT-Backdoor.html


更正：刚开始游侠把SSH Secure写成了SecureCRT，事实上目前为止后者尚未出问题。

　　凡是使用中文版putty、WinSCP、SSH Secure的用户请注意，它们很可能带有病毒，会导致root密码被盗走，进而盗取或破坏数据，利用服务器发攻击包等。

　　昨晚新浪WB的GrimCoder给给游侠（www.youxia.org）发消息，说中文版putty和winscp可能被植入后门；然后Mir_4ll3n又发了个文章；早上看到南非蜘蛛又贴了2个地址证实。今天早上游侠就综合下吧：

　　如果您的服务器出现如下问题：
　　1.进程 .osyslog 或 .fsyslog 吃CPU超过100~1000% (O与F 可能为随机)
　　2.有网络连接往 98.126.55.226:82（大概为主控）
　　3.机器疯狂外发数据
　　4./var/log被删除
　　5.同IP旁扫出现一个域名 oxoddos.com 并且站点名带中文

　　请立即检查系统安全性！

　　同时，可能会/etc/init.d/sshd文件被修改：
　　#!/bin/bash
　　auto
　　/lib/.fsyslog
　　#
　　# chkconfig: 2345 55 25
　　# description: OpenSSH server daemon
　　#
　　# processname: sshd
　　只要重启sshd，就被自动更改

　　同时建立一个到美国IP的TCP连接：98.126.55.226:82
　　增加了fsyslog（或osyslog）进程，耗费CPU严重
　　/var/log目录经常被删除
　　/etc 和/lib 目录 下多了很多隐藏文件 . 开头的，如：

[root@www init.d]# ll -al /etc/.
./ .fsyslog .fsyslog.2 .fsyslog.4 .fsyslog.6 .osyslog.1 .osyslog.3 .osyslog.5 .pwd.lock
../ .fsyslog.1 .fsyslog.3 .fsyslog.5 .osyslog .osyslog.2 .osyslog.4 .osyslog.6

[root@www init.d]# ll -al /lib/.fsyslog
-rwxr-xr-x 1 root root 328056 01-17 19:26 /lib/.fsyslog

　　需要同时检查sshd和sendmail启动文件，注释掉auto 和/lib/.fsyslog 两行，再
　　chmod 4500 /etc/init.d/sendmail
　　chmod 4500 /etc/init.d/sshd
　　rm /etc/.osyslog* -f
　　rm /etc/.fsyslog* -f
　　rm /lib/.fsyslog -f
　　rm -f /lib/.osyslog

　　目前临时解决办法
　　·到官网网站下载SSH软件并安装
　　·立即更改SSH服务端口
　　·可使用密匙认证（好像不受影响）
　　·参照上文检查sshd和sendmail启动文件
　　·修改SSH服务器密码（游侠提醒：要处理好上面几步之后再修改密码）

　　同时游侠建议您，请在正规网站下载putty、WinSCP、SSH Secure，如：
　　putty：http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
　　WinSCP：http://sourceforge.net/projects/winscp/files/WinSCP/4.3.6/winscp436setup.exe/download

　　游侠在百度搜索了下putty、WinSCP、SSH Secure

　　已知可能存在问题的站点：
　　hxxp://www.putty.org.cn
　　hxxp://putty.ws
　　hxxp://www.winscp.cc
　　hxxp://www.sshsecure.com

　　第一个网站的whois信息：

1.png (29.02 KB, 下载次数: 0)

2012-2-1 01:32 上传

点击文件名下载附件

putty和WinSCP是免费软件。但是很明显的：居然都在百度做竞价推广，这一点就非常说明问题！

2.png (30.13 KB, 下载次数: 0)

2012-2-1 01:32 上传

点击文件名下载附件

既然做百度推广，就必然要交费，必然有地址！（换一种说法：出现这样的问题，百度难逃其咎）建议公安部门从百度竞价入手，追查相关责任人！

PS：
　　不是所有的中文版、汉化版都有问题。因这三款软件的版本较多，游侠无法一一验证。请自行鉴别。

整理：www.youxia.org 游侠安全网

感谢：
weibo.com GrimCoder（爆料人）
weibo.com Mir_4ll3n
weibo.com 南非蜘蛛
www.bugbeta.cn 拾梦（现身说法）
www.loc.niceguy.workers.dev 用户名
www.zijidelu.org 爱洞特漏

hepac

让你用百度

西崽猪猪

官方英文版无压力

lazyzhu

这一事件是由HL的某对基友的基情燃起的~
事件相关人物:大胡子、用户名...

xspoco

不用这几个... 用xshell的撸过

Kvm

最起初是大胡子在尖叫。。。。。。。。

dstwhk

建议个p
哪个公安会给你追查

wusir

火了

uuis

putty.ws  好像还可以打开。如果要把这个人抓出来，应该不难
查看QQ 1915279194 登录记录。
putty.org.cn 中文域名是在国内注册的。有支付记录。而且必须是企业才可以注册
他们还有个域名是oxoddos.com  专门做ddos 攻击。。

chaoren521

无压力