先看下这篇来自腾讯科技的报道吧?
“【TechWeb报道】1月31日消息,经安全厂商证实,部分汉化版PuTTY、WinSCP、SSH Secure等开源软件存在后门程序,可能导致Linux服务器系统管理员密码及资料泄露。有知情人士透露,截至目前,PuTTY后门服务器受害账户已达到1万多,且仍在持续增加。”
在今天凌晨通过登录搜狐微博的提示:我的密码也在csdn的泄密范围里。我把之前从网上下载来的一点CSDN数据整出来,果然发现我的账号密码也在里面!很杯具,果断的把能想起来的账号密码全部翻新了!
晚上浏览“深山vps”时发现关于汉化版的putty爆出后门,想到前天我服务器被攻击的之前一点插曲。“当时,我不在自己电脑上网,想起上服务器上看下,就随手打开百度下载了一个putty,当时还诧异百度推广栏里有putty,我就点开还下载下来了,当时还想putty难道还做百度推广吗?使用之后不到1个小时,我返回自己电脑上再次登录上我在堪萨斯洲租用的vps服务器时,却发现进程资源爆满,网站访问出现500页面,我只放了两个网站,就算apache占用内存大也不可能这样啊,后来就开始优化apache参数,优化之后还是不行。我只好查看进程发现有一个.ksyslog进程。在/etc 和/lib目录下面存放着这个文件,相信懂的同学都知道是隐藏文件,还没等我谷歌这是个什么进程的时候,服务器就因为内存爆发而重启了,重启之后再次访问网站一直是apache和centos的默认页面,我把httpd进程和mysqld进程都重新启动都不行,纠结了几个小时之后,终于发现系统默认的多了一个apache,/etc/init.d下的httpd服务器竟然错误的指向了冒名出来的apache上。修改之后就可以启动了。”之后,经过检查端口等,有一个莫名的IP地一直指向我的服务器,我显示把ssh的22端口禁用修改,把root禁用登录,安装防ddos软件包。
到这时我依然没有意识到问题的严重性,我在昨天中午在那台电脑用同样的putty登录我另一个vps服务器进行操作。下午三点我再次查看探针,内存再次暴涨,不过由于这个内存是另一个一倍。索性没有导致重启,并且由于本身采用nginx作为生成环境,线程少。按照同样的方法处理之后。到今天又恢复正常了。
晚上看到这篇报道很惊愕,我竟然也算在短短几天之内爆出root密码的unix管理员之一。报道还说“今天下午,有安全业界知情人士透露,截至目前,PuTTY后门服务器后查询受害账户已达到1万多,且仍在持续增加,目前仍有受害者的密码在向该服务器发送。”
唉!可悲的当今社会,网络环境更是可悲。还有可悲的百度推广,在百度搜索这两款软件,均出现了竞价广告,并指向非官方授权的中文打包分发网站。两个字“恶心”,虽然和李彦宏是同乡,并且还是校友。我依然继续的鄙视百度。
总结一下呢:
现在所有的服务器马上能够更换ssh端口,最好禁用root,把没用的服务端口全部关闭。
从官方下载putty使用,或者换用secureCRT。
查看自己服务器是否出现以下症状:
- 1、进程 .osyslog 或 .fsyslog 吃CPU超过100~1000%(O与F 可能为随机)我个人是k
- 2、有网络连接往 98.126.55.226:82 大概为主控
- 3、机器疯狂外发数据
- 4、/var/log被删除
- 5、/etc/init.d/sshd被修改
检查是否中招的方法:
搜索 /etc/.fsyslog /lib/.fsyslog文件是否存在。我的是.ksyslog文件,已经狠狠的删除掉了!
写完这篇文章之后,我再次搜索putty,竞价广告已经没了