| 在百度搜索 putty http://www.baidu.com/s?wd=putty&rsv_bp=0&rsv_spt=3&inputT=2645 可看到一个参加付费推广的站点。
该站点IP为 98.126.55.226 同样 http://www.winscp.cc 也位于该服务器,且出自同一个团队。 ______________________ 使用了 hxxp://www.winscp.cc/index.htm hxxp://www.putty.org.cn 还有一个hxxp://putty.ws/ 的软件 疑似钓鱼 带后门 机器中招特征 1.进程 .osyslog 或 .fsyslog 吃CPU超过100~1000% (O与F 可能为随机) 2.有网络连接往 98.126.55.226:82 大概为主控 3.机器疯狂外发数据 4. /var/log被删除 ________________________ /etc/init.d/sshd 文件被人修改成下面那样了 #!/bin/bash 我机器密码并不简单,为什么被黑~~~~? 一重启sshd,那个sshd的启动文件就变成上面那样,只能暂时将 sshd文件修改为4500权限了,暂时先这样,节后过来再说,还不清楚怎么回事。 被入侵后,会建立一个tcp连接到美国的ip,如下: 98.126.55.226:82 多了fsyslog进程,很耗CPU。同时 /var/log目录经常被删除。 /etc 和/lib 目录 下多了很多隐藏文件 . 开头的,如: [root@www init.d]# ll -al /etc/. [root@www init.d]# ll -al /lib/.fsyslog 需要检查 sshd和sendmail启动服务文,注释掉auto 和/lib/.fsyslog 两行,再 chmod 4500 /etc/init.d/sendmail chmod 4500 /etc/init.d/sshd
rm /etc/.osyslog* -f rm /etc/.fsyslog* -f rm /lib/.fsyslog -f rm -f /lib/.osyslog
2012-1-29 Update 一直以为是系统或者是系统里面软件的漏洞,看了这文章后才知道,妈的,是下载了个山寨winscp软件后中招的: http://www.hostloc.com/thread-102283-1-1.html ____________________________________ 在此建议大家谨慎使用“二手软件”,请到putty官网下载原版。 http://www.putty.org/ 也希望该团队能出面做个解释 “秒啦互联建立于2011年5月,由著名资深电子商务人士邢雪斌个人建立;主要经营putty软件。” “宿洲市天奇科技发展有限公司联系方式 地址:安徽省宿洲市汴河路49号
电话:0557-3905300 龙生” |
