中文版putty、WinSCP、SSH Secure后门！请立即更新

netsky

凡是使用中文版putty、WinSCP、SSH Secure的用户请注意，它们很可能带有病毒，会导致root密码被盗走，进而盗取或破坏数据，利用服务器发攻击包等。

如果您的服务器出现如下问题：

1.进程 .osyslog 或 .fsyslog 吃CPU超过100~1000% (O与F 可能为随机)

2.有网络连接往 98.126.55.226:82（大概为主控）

3.机器疯狂外发数据

4./var/log被删除

5.同IP旁扫出现一个域名 oxoddos.com 并且站点名带中文

请立即检查系统安全性！

同时，可能会/etc/init.d/sshd文件被修改：

#!/bin/bash
auto
/lib/.fsyslog
#
# chkconfig: 2345 55 25
# description: OpenSSH server daemon
#
# processname: sshd

只要重启sshd，就被自动更改

同时建立一个到美国IP的TCP连接：98.126.55.226:82

增加了fsyslog（或osyslog）进程，耗费CPU严重

/var/log目录经常被删除

/etc 和/lib 目录 下多了很多隐藏文件 . 开头的，如：

[root@www init.d]# ll -al /etc/.
./ .fsyslog .fsyslog.2 .fsyslog.4 .fsyslog.6 .osyslog.1 .osyslog.3 .osyslog.5 .pwd.lock
../ .fsyslog.1 .fsyslog.3 .fsyslog.5 .osyslog .osyslog.2 .osyslog.4 .osyslog.6

[root@www init.d]# ll -al /lib/.fsyslog
-rwxr-xr-x 1 root root 328056 01-17 19:26 /lib/.fsyslog

需要同时检查sshd和sendmail启动文件，注释掉auto 和/lib/.fsyslog 两行，再

chmod 4500 /etc/init.d/sendmail
chmod 4500 /etc/init.d/sshd
rm /etc/.osyslog* -f
rm /etc/.fsyslog* -f
rm /lib/.fsyslog -f
rm -f /lib/.osyslog

已知可能存在问题的站点：
hxxp://www.putty.org.cn
hxxp://putty.ws
hxxp://www.winscp.cc
hxxp://www.sshsecure.com

目前临时解决办法
·到官网网站下载SSH软件并安装
·立即更改SSH服务端口
·可使用密匙认证（好像不受影响）
·参照上文检查sshd和sendmail启动文件
·修改SSH服务器密码（游侠提醒：要处理好上面几步之后再修改密码）

cnweb

发了无数次了

netsky

再次提醒下，多多益善

hepac

有傻子就有骗子

Comcast

中文害死人啊。我的WINSCP 和putty都是chinaz下的

netsky

我一直用的英文原版

SCP移动版去XDOWNS下的估计没问题

随风舞

还好没用这些 = =

cquyf

了解了

Ruclinux

是不是某主机侦探论坛的关联网站？在官网的标签全挂着站长百科的水印和某主机侦探论坛的链接。

lazyzhu

这一事件是由HL的某对基友的基情燃起的~
事件相关人物:大胡子、用户名...