中文版putty后门事件分析

中文版putty后门事件:分析与安全建议
最新推荐文章于 2025-01-02 19:17:01 发布
原创 最新推荐文章于 2025-01-02 19:17:01 发布 · 632 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

2012年2月,中文版putty、WinSCP等SSH管理工具被发现存在后门,会窃取用户名和密码。事件涉及putty.org.cn等多个站点的中文版软件,而英文版不受影响。后门程序通过HTTP GET方式将信息发送到指定服务器。安全建议包括使用官方软件、检查服务器后门、加强网络监控等。

2012年02月01日 17:45 

 

感谢lszm的投递
近几日,中文版putty等SSH远程管理工具被曝出存在后门,该后门会自动 窃取管理员所输入的SSH用户名与口令,并将其发送至指定服务器上。知道创宇安全研究小组在第一时间获取该消息后,对此次事件进行了跟踪和分析。根据分 析,此次事件涉及到来自putty.org.cn、putty.ws、winscp.cc和sshsecure.com站点的中文版putty、 WinSCP、SSHSecure和psftp等软件,而这些软件的英文版本不受影响。

1.时间线

1月25日:新浪微博有网友发布消息称putty和winscp中装有后门程序,但该条微博并未提及后门程序的类型及其技术细节,而且消息也未被过多的人所重视,目前无法确定该条微博是否与此次事件有关联:

 

1月30日下午16点左右:互联网上再度出现关于中文版putty等SSH管理软件被装有后门的消息,并且此消息对后门的行为特征进行了简要的描述 —— 该程序会导致root密码丢失,但发布者仍未披露具体的技术细节:

 

以上微博的短URL所对应的文章截图如下:

 1月31日:经过一晚的酝酿,putty事件开始在互联网上广泛传播,微博、论坛等信息发布平台上开始大量出现putty后门事件的消息,同时,很多技术人员也开始对含有后门的putty等SSH管理软件进行技术分析,并陆续发布其中的技术细节。

2.事件分析

2.1问题软件源头

知道创宇安全研究团队在获取信息后,第

最低0.47元/天 解锁文章
cnPuTTY 0.78.0.1—PuTTY Release 0.78中文版本简单说明~~
zdIdealism的博客
11-05 3207
cnPuTTY 0.78.0.1—PuTTY Release 0.78中文版本的简单说明,同步更新最新版本,基于PuTTY源码修改编译,让PuTTY更方便使用。
cnPuTTY 0.83.0.1—PuTTY Release 0.83中文版本简单说明~~
最新发布
zdIdealism的博客
02-10 2567
cnPuTTY 0.83.0.1的同步更新,包含MacOS、Linux以及Windows下的最新发布。修改增加ML-KEM相关加密算法,修正了上一版本的诸多错误,
【经验总结】中文版putty后门事件分析【转】
【 无线技术运营 】 (本专栏是http://wireless.qzone.qq.com的镜像)
02-07 1768
中文版putty后门事件分析 by lszm 近几日,中文版putty等SSH远程管理工具被曝出存在后门,该后门会自动 窃取管理员所输入的SSH用户名与口令,并将其发送至指定服务器上。知道创宇安全研究小组在第一时间获取该消息后,对此次事件进行了跟踪和分析。根据分 析,此次事件涉及到来自putty.org.cn、putty.ws、winscp.cc和sshsecu
注意!部分中文版putty被植入后门
DraGonPlan 的“砖篮”
01-31 1108
春节前购买了一台万网的翔云主机,装好系统不久后发现系统进程中有一个名为.osyslog的进程,占cpu很大,起初以为是万网的集群日志处理造成的。kill掉后正常。过几天观察又反复出现类似情况进程名为 .osyslog(.ksyslog 、.fsyslog)。百度了一下,貌似很多vps都出现类似情况,有人怀疑是wdcp的问题。 http://www.west263.com/faq/list.asp
中文版putty后门事件的曝光过程及我们所受到的报复
weixin_34258078的博客
02-02 904
我们(LuManager官方)于元月31号晚上向论坛一万多LuManager的用户发送邮件通知,从而导致putty后门事件的曝光,在此细说后门的发现过程,并对360和百度等大公司的无所作为表示谴责! ######## Putty后门事件的曝光过程 * 2011年11月份,我们在用户的机器上发现/var/log目录无故被删除,由于LuManager的网站日志访问文件是在...
关于putty汉化版后门事件受影响的IP
weixin_34227447的博客
01-31 2190
用过这款软件的筒子们自查吧。感谢团长和叽咕海(hysia)提供的线索。 10.0.0.102 10.0.0.110 10.0.0.119 10.0.0.13 10.0.0.136 10.0.0.163 10.0.0.226 10.0.0.32 10.0.0.42 10.0.0.7 10.0.1.2 10.0.1.3 10.0.1.7 10.0.102.94 10.0....
cnPuTTY 0.81.0.1—PuTTY Release 0.81中文版本简单说明~~
zdIdealism的博客
05-01 2053
cnPuTTY 0.81.0.1发布的相关信息,本次发布主要修复了使用521位ECDSA密钥时的一个严重漏洞(CVE-2024-31497)。如果您使用521位ECDSA私钥与任何早期版本的PuTTY组合,私钥可能已泄露,强烈建议从相关文件中删除公钥,并使用新版本程序重新生成新的密钥对。
cnPuTTY 0.82.0.1—PuTTY Release 0.82中文版本简单说明~~
zdIdealism的博客
01-02 1140
cnPuTTY 0.82.0.1的同步更新,包含MacOS、Linux以及Windows下的最新发布及JK补丁版本发布。
cnPuTTY 0.79.0.1-JK—PuTTY 0.79中文JK补丁版的简单说明~~
zdIdealism的博客
10-31 1456
cnPuTTY磁盘存储补丁的相关程序发布。cnPuTTY中文版本的PuTTY程序,这里添加了JK磁盘存储补丁,把会话和配置等相关信息存储到本地文件而不是注册表当中方便使用提供便携性。
cnPuTTY CAC 0.80—PuTTY CAC 0.80中文版本简单说明~~
zdIdealism的博客
01-01 1295
cnPuTTY CAC 0.80同步更新了针对Terrapin攻击(CVE-2023-48795)的修改,除了这些还进行了额外的添加和修改。另外来自cnPuTTY CAC自身也进行了小的修改。
超好用的putty,xshell听说有后门
10-29
超好用的putty,xshell听说有后门,所以功能简陋但是绝对安全的putty还是挺好用的
远程链接工具putty后门版本
04-25
小而便捷的远程链接工具,不添加任何后门,放心下载。
putty 学习http协议用
04-29
putty 学习http协议用putty 学习http协议用putty 学习http协议用
所有从非官方网站下载的putty和WinSCP都有后门(附清理方式)
baiguomeng
01-31 282
首发地址: http://bbs.hpx-party.org/thread-9143-1-1.html 所有从非官方网站下载的putty和WinSCP都有后门,大家在全公司范围内撤查一遍吧。已经经过金山网络反病毒工程师李铁军确认,后面附图。 putty和winscp是免费开源软件,怎么可能在baidu上打推广广告,明显带后门啊,如果你不知道putty和winscp的功能,那么我告诉你,这是最常...
putty和WinSCP后门检查及清理方式
weixin_34183910的博客
05-02 234
检查及清理方式 检查 /var/log 是否被删除 # /usr/bin/stat /var/log 如果被删除了,说明中招了 查看 /var/log 文件夹内容 # ls -al /var/log 如果文件很少,说明中招了 监控名称为 fsyslog,osysllog 的进程 # /usr/bin/watch -n 1 /bin/ps -AFZ f ...
遗传:微生物组数据分析方法与应用
刘永鑫的博客——宏基因组公众号
09-05 7164
本文版权归《遗传》杂志,已获授权,转载请联系杂志社微生物组数据分析方法与应用刘永鑫1,2,秦媛1,2,3,郭晓璇1,2,白洋1,2,31. 中国科学院遗传与发育生物学研究所,植物基因组学...
Python黑客攻防(九)编写后门程序
qq_43681532的博客
07-16 6130
前言 本篇文章讲解如何编写后门程序,并实践测试运行,通过后门程序查找文件。 后门基本概念 防火墙用于拦截用户从外部访问服务器。访问服务器的Telnet、FTP等服务只限允许的用户使用。防火墙并不会阻断用户从内部向外部的访问路径。虽然很难从外部侵入防火墙,但一旦成功,黑客就能轻松窃取敏感信息。后门技术用于绕过防火墙等安全设备,掌控服务器资源。安装于目标服务器的后门客户端会接收并运行来自后门服务器的命令,并将运行结果发送给后门服务器。 利用后门发动攻击时,最困难的是向目标系统安装后门客户端。通过网络直接上传文件
Linux服务器被入侵后的排查思路(应急响应思路)
人若有志,就不会在半坡停止。
11-12 3239
黑客在9月6日14:31:39——14:33:11对服务器进行爆破,且在 14:33:09成功爆破出root账户密码并且进行登录,登录之后在9月6日14:37:22 植入了 .shell.elf 后门(根据成功爆破出root账户的时间可知 9月5日18:00:06 为 .shell.elf后门的创建时间,并非植入时间)、在14:38:00 植入了 /.centos_core.elf 后门、在 14:43:31 植入了ps命令后门、在 14:48:08写了恶意定时任务,恶意IP为192.168.1.132。
典型安全事件专题
m0_74079109的博客
11-11 933
某企业 WEB服务器感染勒索病毒,文件后缀均被修改为 yzzzfiactn,根据勒索信息文件 (YZZZFIACTN-MANUAL.txt)判断为最新的 GandCrab V5.2 勒索病毒,该版本目前尚无公开的解密秘 钥及程序,同时在主机中还发现存在多个可疑恶意程序文件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值