[论坛公告]关于云服务器远程登录工具存在后门的提醒

lov-lov

尊敬的阿里云用户:
      您好!
      近日，阿里云·云盾安全服务中心发现：中文版putty等SSH远程管理工具被曝出存在后门，该后门会自动窃取管理员所输入的SSH用户名与口令，并将其发送至指定云服务器上。对此进行分析，预计影响范围：中文版putty、 WinSCP、SSHSecure和psftp等软件，而这些软件的英文版本不受影响。
     分析细节如下，请您重点关注：
一、 受影响的云服务器特征
1．进程 .osyslog 或 .fsyslog 消耗CPU超过100~1000% ( .osyslog与 .fsyslog可能为随机)
2．有网络连接往 98.126.55.226:82（大概为主控）
3．机器疯狂外发数据
4．/var/log被删除
5．同IP旁扫出现一个域名 oxoddos.com 并且站点名带中文
二、检查方法
若云服务器或终端出现上述情况，可参照以下方法检查，确认是否受影响。
1. 服务器：
方法1．etc目录下存在.fsyslog或者.osyslog文件;
方法2．lib目录下存在.fsyslog或者.osyslog文件。
2. 个人终端：
目前的杀毒软件基本支持该后门的检测，所以个人终端只需更新杀毒软件至最新版本，然后做整体的扫描检查。
三、修补建议
若受到影响，请参照如下步骤进行修补：
1．卸载中文版putty，WinSCP，SSH Secure；
2．下载官方的PUTTY，WinSCP，SSH Secure重新安装；
3．修改云服务器等的登录信息。
温馨提醒：官方链接
http://www.putty.org
http://winscp.net
http://www.ssh.com/
四、问题下载源
以下链接已确认其下载文件存在后门：
putty.ws
www.putty.org.cn
www.winscp.cc
www.sshsecure.com

                                                                                                                            阿里云计算官方
                                                                                                                                                            2012年2月9日

lov-lov

http://bbs.aliyun.com/read.php?tid=51373