所有從非官方網站下載的putty和WinSCP都有後門(附清理方式)
阿新 • • 發佈:2019-01-29
所有從非官方網站下載的putty和WinSCP都有後門,大家在全公司範圍內撤查一遍吧。已經經過金山網路反病毒工程師李鐵軍確認,後面附圖。
putty和winscp是免費開源軟體,怎麼可能在baidu上打推廣廣告,明顯帶後門啊,如果你不知道putty和winscp的功能,那麼我告訴你,這是最常用的用於連線linux主機的軟體,putty是命令列介面,winscp是上傳下載檔案,帶有後門的putty和winscp可以攔截你輸入的所有伺服器密碼。如果你們公司做網站,而且伺服器是Linux的話,那麼你的公司的技術人員很有可能就中招了,馬上查一下吧
- 檢查 /var/log 是否被刪除 # /usr/bin/stat /var/log
如果被刪除了,說明中招了,如果你分不清,請回本貼 - 檢視 /var/log 資料夾內容 # ls -al /var/log
如果檔案很少,說明中招了,如果你分不清,請回本貼 - 監控名稱為 fsyslog,osysllog 的程序 # /usr/bin/watch -n 1 /bin/ps -AFZ f \| /bin/grep syslog
如果有名稱為fsyslog或osyslog的程序,說明中招了,注意不要和正常的系統日誌程序混淆,如果你分不清,請回本貼 - 檢查 /etc/init.d/sshd 的檔案頭是否被篡改過 # /usr/bin/head /etc/init.d/sshd
如果你分不清,請回本貼 - 檢查 /etc/init.d/sendmail 的檔案頭是否被篡改過 # /usr/bin/head /etc/init.d/sendmail
如果你分不清,請回本貼 - 檢查是否有對外連結的 82 埠 # /bin/netstat -anp | /bin/grep ':82'
如果有,而你又沒設定過,說明已經中招了,如果你分不清,請回本貼 - 檢查是否有連結到 98.126.55.226 的連結 # /bin/netstat -anp | /bin/grep '98\.' --color
如果有,說明已經中招了,如果你分不清,請回本貼 - 檢查 /etc 資料夾下的隱藏檔案 .fsyslog .osyslog,檢查 /lib 資料夾下的隱藏檔案 .fsyslog .osyslog
/usr/bin/find /etc -name '.*' -printf '%a %c %t %M %g:%u %p\n' | /bin/grep 2012 --color
/usr/bin/find /lib -name '.*' -printf '%a %c %t %M %g:%u %p\n' | /bin/grep 2012 --color
/usr/bin/find /etc -name 'syslog' -printf '%a %c %t %M %g:%u %p\n' | /bin/grep 2012 --color
/usr/bin/find /lib -name 'syslog' -printf '%a %c %t %M %g:%u %p\n' | /bin/grep 2012 --color
如果有近期修改過的名稱包含fsyslog或osyslog的檔案,說明已經中招了,如果你分不清,請回本貼
- 檢視系統日誌資料夾 # ls -al /var/log
- 建立系統日誌資料夾 # /bin/mkdir /var/log
如果被刪除的話需要建立 - 檢視系統日誌服務 # /usr/bin/find /etc/init.d/ -name '*log*'
需要區分出你的伺服器所使用的日誌服務,如果你分不清,請回本貼 - 關閉系統日誌服務 # /sbin/service syslog stop
你的伺服器的日誌服務的名稱可能是另外一個名字,如果你分不清,請回本貼 - 啟動系統日誌服務 # /sbin/service syslog start
你的伺服器的日誌服務的名稱可能是另外一個名字,如果你分不清,請回本貼 - 建立錯誤登入日誌檔案 # /bin/touch /var/log/btmp
- 設定錯誤登入日誌檔案使用者組 # /bin/chown root:utmp /var/log/btmp
- 設定錯誤登入日誌檔案許可權 # /bin/chmod 600 /var/log/btmp
- 建立登入日誌檔案 # /bin/touch /var/log/wtmp
- 設定登入日誌檔案使用者組 # /bin/chown root:utmp /var/log/wtmp
- 設定登入日誌檔案許可權 # /bin/chmod 664 /var/log/wtmp
- 檢視 SELinux 狀態 # /usr/sbin/sestatus -v
- 檢查 /var/log 資料夾的安全上下文 # /sbin/restorecon -rn -vv /var/log
- 恢復 /var/log 資料夾的安全上下文 # /sbin/restorecon -r -vv /var/log
- 檢查 /etc 資料夾的安全上下文 # /sbin/restorecon -rn -vv /etc 2>/dev/null
- 恢復 /etc 資料夾的安全上下文 # /sbin/restorecon -r -vv /etc 2>/dev/null
- 檢查 /lib 資料夾的安全上下文 # /sbin/restorecon -rn -vv /lib 2>/dev/null
(免費開源的winscp軟體竟然在百度做推廣)
這兩個網站有相同的建立時間,相同的介面風格,如果看原始碼,應該是同一套程式開發的。