经金山毒霸安全中心验证, PuTTY、WinSCP和SSH Secure这三款Linux服务器管理软件的汉化版本存在后门程序,可窃取管理员帐号,从而完全控制Linux服务器。
根据业内安全人士掌握并分享的数据,至目前,PuTTY后门服务器受害账户已达到1万多,且仍在持续增加。
对此,安全厂商建议Linux系统管理员应立刻卸载这些汉化版软件,并尽快修改管理员密码。如果服务器已经遭到风险威胁,可以尝试更改SSH连接端口,让攻击者找不到入口。
相关工具的英文版下载链接:
putty: http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
winscp: http://sourceforge.net/projects/winscp/files/WinSCP/4.3.6/winscp436setup.exe/download
ssh secure shell client: 这款工具的英文版已经很久没有更新过,最后一个版本3.2.9可以在很多国外大学的网站下载到,比如这里。
微博上有不少相关消息,摘抄部分如下:
·这件事儿怎么发现的?
@团-长 : 某大牛渗透 putty后门服务器……
·事件当前的影响情况如何?
@杨冀龙 : 这次ssh客户端软件伪中文版,窃取服务器root密码近3万条,hp,ibm,oracle等大公司也中招,不过最让人担心的是web.sourceforge.net中招,估计很多开源软件也中招了。
王文文IT:关于putty汉化版后门事件受影响的IP http://t.cn/zOPIMsf 感谢 @团-长 和 @叽咕海 提供的线索
@李铁军:汉化版putty后门简单分析报告:http://t.cn/zOP5jIB,英文版putty没有问题。在用户输入完密码和用户名时,程序会将病毒需要的信息(用户名密码)包保存起来发送到远程ASP空间。这个传播带毒putty的网站在中文网站中排名为64173,已相当靠前。现在还很难估计有多少linux系统管理员受害。
@团-长 : 由于“Putty中文版”后门地址存在Sql注入所以可以查到所有记录,但下午14时左右可能被人调用del 做注入查询导致所有记录被清,目前只能找到这些供各位自查,还请有关部门处理后门事件,避免更多的服务器受到影响。 http://t.cn/zOP5mqS
·防备和补救思路
panjiepan:刚看了一下putty/winscp的官方网站英文版的下载页面都不是https的,下英文版的也不一定保险。。。如果某些路由上有人要使坏的话。。。
@南非蜘蛛 : 大家都说用官网putty,感觉事不关己?但是你的运维团队有一个人用了有问题的putty,你的服务器是不是就沦陷了那?大局为重。
感想:Stallman再次对了,不开源的软件终归是要绑架用户的。这种管理员工具,有开源的尽量用开源的吧,下载后check一下md5,至少存在后门的可能性还是少点。远离来路不明的汉化版、破解、盗版软件,会让你的机器活得长久些。