找回密码
 注册
搜索
免费空间 免费域名 免费AI 老牌主机商首月仅1美分!27美元/年!Spaceship优惠码 Namecheap优惠码阿里云2核2G3M新老续费同享99元/年!
查看: 91|回复: 1

[论坛公告]关于云服务器远程登录工具存在后门的提醒

[复制链接]
发表于 2012-2-10 23:52:07 | 显示全部楼层 |阅读模式
尊敬的阿里云用户:
      您好!
      近日,阿里云·云盾安全服务中心发现:中文版putty等SSH远程管理工具被曝出存在后门,该后门会自动窃取管理员所输入的SSH用户名与口令,并将其发送至指定云服务器上。对此进行分析,预计影响范围:中文版putty、 WinSCP、SSHSecure和psftp等软件,而这些软件的英文版本不受影响。
     分析细节如下,请您重点关注:
一、 受影响的云服务器特征
1.进程 .osyslog 或 .fsyslog 消耗CPU超过100~1000% ( .osyslog与 .fsyslog可能为随机)
2.有网络连接往 98.126.55.226:82(大概为主控)
3.机器疯狂外发数据
4./var/log被删除
5.同IP旁扫出现一个域名 oxoddos.com 并且站点名带中文
二、检查方法
若云服务器或终端出现上述情况,可参照以下方法检查,确认是否受影响。
1. 服务器:
方法1.etc目录下存在.fsyslog或者.osyslog文件;
方法2.lib目录下存在.fsyslog或者.osyslog文件。
2. 个人终端:
目前的杀毒软件基本支持该后门的检测,所以个人终端只需更新杀毒软件至最新版本,然后做整体的扫描检查。
三、修补建议
若受到影响,请参照如下步骤进行修补:
1.卸载中文版putty,WinSCP,SSH Secure;
2.下载官方的PUTTY,WinSCP,SSH Secure重新安装;
3.修改云服务器等的登录信息。
温馨提醒:官方链接
http://www.putty.org
http://winscp.net
http://www.ssh.com/
四、问题下载源
以下链接已确认其下载文件存在后门:
putty.ws
www.putty.org.cn
www.winscp.cc
www.sshsecure.com

                                                                                                                            阿里云计算官方
                                                                                                                                                            2012年2月9日
 楼主| 发表于 2012-2-10 23:52:31 | 显示全部楼层
您需要登录后才可以回帖 登录 | 注册

本版积分规则

手机版|小黑屋|免费吧论坛

GMT+8, 2024-11-25 19:19 , Processed in 0.019129 second(s), 4 queries , Redis On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表