设为首页收藏本站

LUPA开源社区

 找回密码
 注册
文章 帖子 博客
LUPA开源社区 首页 业界资讯 开源资讯 查看内容

中文版putty和Winscp疑似被植入木马

2012-1-31 09:24| 发布者: 开源精灵| 查看: 3383| 评论: 0

摘要: 在百度搜索 puttyhttp://www.baidu.com/s?wd=puttyrsv_bp=0rsv_spt=3inputT=2645可看到一个参加付费推广的站点。该站点IP为 98.126.55.226同样 http://www.winscp.cc 也位于该服务器,且出自同一个团队。目前有网友 ...
在百度搜索 putty
http://www.baidu.com/s?wd=putty&rsv_bp=0&rsv_spt=3&inputT=2645
可看到一个参加付费推广的站点。


该站点IP为 98.126.55.226

同样  http://www.winscp.cc  也位于该服务器,且出自同一个团队。


目前有网友初步反应如下:
______________________
使用了
hxxp://www.winscp.cc/index.htm
hxxp://www.putty.org.cn
还有一个hxxp://putty.ws/
的软件

疑似钓鱼 带后门
机器中招特征

1.进程 .osyslog 或 .fsyslog 吃CPU超过100~1000%    (O与F 可能为随机)
2.有网络连接往 98.126.55.226:82 大概为主控
3.机器疯狂外发数据
4. /var/log被删除
________________________

/etc/init.d/sshd 文件被人修改成下面那样了

#!/bin/bash
auto
/lib/.fsyslog
#
# chkconfig: 2345 55 25
# description: OpenSSH server daemon
#
# processname: sshd

我机器密码并不简单,为什么被黑~~~~?

一重启sshd,那个sshd的启动文件就变成上面那样,只能暂时将 sshd文件修改为4500权限了,暂时先这样,节后过来再说,还不清楚怎么回事。

被入侵后,会建立一个tcp连接到美国的ip,如下:

98.126.55.226:82

多了fsyslog进程,很耗CPU。同时 /var/log目录经常被删除。

/etc 和/lib 目录 下多了很多隐藏文件 . 开头的,如:

[root@www init.d]# ll -al /etc/.
./          .fsyslog    .fsyslog.2  .fsyslog.4  .fsyslog.6  .osyslog.1  .osyslog.3  .osyslog.5  .pwd.lock
../         .fsyslog.1  .fsyslog.3  .fsyslog.5  .osyslog    .osyslog.2  .osyslog.4  .osyslog.6

[root@www init.d]# ll -al /lib/.fsyslog
-rwxr-xr-x 1 root root 328056 01-17 19:26 /lib/.fsyslog

需要检查 sshd和sendmail启动服务文,注释掉auto 和/lib/.fsyslog 两行,再

chmod 4500 /etc/init.d/sendmail

chmod 4500 /etc/init.d/sshd

 

rm /etc/.osyslog* -f

rm /etc/.fsyslog* -f

rm /lib/.fsyslog  -f

rm -f /lib/.osyslog

 

2012-1-29  Update

一直以为是系统或者是系统里面软件的漏洞,看了这文章后才知道,妈的,是下载了个山寨winscp软件后中招的:

http://www.hostloc.com/thread-102283-1-1.html

____________________________________

在此建议大家谨慎使用“二手软件”,请到putty官网下载原版。

http://www.putty.org/


也希望该团队能出面做个解释

“秒啦互联建立于2011年5月,由著名资深电子商务人士邢雪斌个人建立;主要经营putty软件。”

“宿洲市天奇科技发展有限公司联系方式

地址:安徽省宿洲市汴河路49号

电话:0557-3905300 龙生”


酷毙
2

雷人

鲜花

鸡蛋

漂亮

刚表态过的朋友 (2 人)

相关阅读

  • 快毕业了,没工作经验,
    找份工作好难啊?
    赶紧去人才芯片公司磨练吧!!

最新评论

关于LUPA|人才芯片工程|人才招聘|LUPA认证|LUPA教育|LUPA开源社区 ( 浙B2-20090187 浙公网安备 33010602006705号   

返回顶部