科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道应用安全PuTTY“后门”最新进展上万服务器密码泄露

PuTTY“后门”最新进展上万服务器密码泄露

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

1月31日,据“游侠安全网”站长发布消息称,国内流行的Linux服务器远程登录工具PuTTY、WinSCP、SSH Secure等工具汉化版被黑客植入后门,并得到360等安全厂商证实和查杀。

来源:大洋网 2012年2月1日

关键字: 后门 密码泄露 服务器安全

  • 评论
  • 分享微博
  • 分享邮件

  1月31日,据“游侠安全网”站长发布消息称,国内流行的Linux服务器远程登录工具PuTTY、WinSCP、SSH Secure等工具汉化版被黑客植入后门,并得到360等安全厂商证实和查杀。今日晚间,新浪微博网友“团-长”再次透露,目前已有上万服务器遭PuTTY后门窃取密码,这个数字仍在持续增加。

  

  图1:网友透露PuTTY后门受害者已经过万

  据专业机构分析,被植入后门的汉化版PuTTY、WinSCP、SSH Secure会在用户输入所有信息,服务器验证密码及用户名信息前,植入“发送服务器地址、用户名、密码到特定ASP空间”的恶意逻辑命令,导致用户服务器信息被黑客暗中窃取。

  如有用户使用非官方授权的汉化版PuTTY等工具,服务器可能出现如下中招症状:进程.osyslog或.fsyslog吃CPU超过100~1000%(O与F可能为随机);机器疯狂向外发送数据;/var/log被删除;/etc/init.d/sshd被修改。同时,目前已有网民通过微盘公布了受影响的服务器IP/域名,服务器管理员可以在其中检索自己是否中招。

  经验证,目前国内主流安全软件均已对内置后门的PuTTY等工具汉化包进行查杀。当电脑用户访问提供PuTTY后门下载的网站时,360安全卫士还会弹出警报,并指向正牌的PuTTY官方网址。

  

  图2:360拦截暗藏后门的PuYYT下载站

  根据此前360安全中心发布的公告,服务器系统维护人员应选择官方网站下载使用各类工具软件。如服务器已经遭到恶意威胁,可以尝试更改SSH连接端口,并尽快删除可疑来源的“汉化版”PuTTY等工具,第一时间更换管理员密码。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章