所有从非官方网站下载的putty和WinSCP都有后门(附清理方式)

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
简介:  首发地址: http://bbs.hpx-party.org/thread-9143-1-1.html所有从非官方网站下载的putty和WinSCP都有后门,大家在全公司范围内撤查一遍吧。
 

首发地址: http://bbs.hpx-party.org/thread-9143-1-1.html

所有从非官方网站下载的putty和WinSCP都有后门,大家在全公司范围内撤查一遍吧。已经经过金山网络反病毒工程师李铁军确认,后面附图。

putty和winscp是免费开源软件,怎么可能在baidu上打推广广告,明显带后门啊,如果你不知道putty和winscp的功能,那么我告诉你,这是最常用的用于连接linux主机的软件,putty是命令行界面,winscp是上传下载文件,带有后门的putty和winscp可以拦截你输入的所有服务器密码。如果你们公司做网站,而且服务器是Linux的话,那么你的公司的技术人员很有可能就中招了,马上查一下吧


检查及清理方式
  • 检查 /var/log 是否被删除 # /usr/bin/stat /var/log
    如果被删除了,说明中招了,如果你分不清,请回本贴
  • 查看 /var/log 文件夹内容 # ls -al /var/log
    如果文件很少,说明中招了,如果你分不清,请回本贴
  • 监控名称为 fsyslog,osysllog 的进程 # /usr/bin/watch -n 1 /bin/ps -AFZ f \| /bin/grep syslog
    如果有名称为fsyslog或osyslog的进程,说明中招了,注意不要和正常的系统日志进程混淆,如果你分不清,请回本贴
  • 检查 /etc/init.d/sshd 的文件头是否被篡改过 # /usr/bin/head /etc/init.d/sshd
    如果你分不清,请回本贴
  • 检查 /etc/init.d/sendmail 的文件头是否被篡改过 # /usr/bin/head /etc/init.d/sendmail
    如果你分不清,请回本贴
  • 检查是否有对外链接的 82 端口 # /bin/netstat -anp | /bin/grep ':82'
    如果有,而你又没设置过,说明已经中招了,如果你分不清,请回本贴
  • 检查是否有链接到 98.126.55.226 的链接 # /bin/netstat -anp | /bin/grep '98\.' --color
    如果有,说明已经中招了,如果你分不清,请回本贴
  • 检查 /etc 文件夹下的隐藏文件 .fsyslog .osyslog,检查 /lib 文件夹下的隐藏文件 .fsyslog .osyslog
    /usr/bin/find /etc -name '.*' -printf '%a %c %t %M %g:%u %p\n' | /bin/grep 2012 --color
    /usr/bin/find /lib -name '.*' -printf '%a %c %t %M %g:%u %p\n' | /bin/grep 2012 --color
    /usr/bin/find /etc -name 'syslog' -printf '%a %c %t %M %g:%u %p\n' | /bin/grep 2012 --color
    /usr/bin/find /lib -name 'syslog' -printf '%a %c %t %M %g:%u %p\n' | /bin/grep 2012 --color
    如果有近期修改过的名称包含fsyslog或osyslog的文件,说明已经中招了,如果你分不清,请回本贴

恢复系统日志
  • 查看系统日志文件夹 # ls -al /var/log
  • 创建系统日志文件夹 # /bin/mkdir /var/log
    如果被删除的话需要创建
  • 查看系统日志服务 # /usr/bin/find /etc/init.d/ -name '*log*'
    需要区分出你的服务器所使用的日志服务,如果你分不清,请回本贴
  • 关闭系统日志服务 # /sbin/service syslog stop
    你的服务器的日志服务的名称可能是另外一个名字,如果你分不清,请回本贴
  • 启动系统日志服务 # /sbin/service syslog start
    你的服务器的日志服务的名称可能是另外一个名字,如果你分不清,请回本贴
  • 创建错误登录日志文件 # /bin/touch /var/log/btmp
  • 设置错误登录日志文件用户组 # /bin/chown root:utmp /var/log/btmp
  • 设置错误登录日志文件权限 # /bin/chmod 600 /var/log/btmp
  • 创建登录日志文件 # /bin/touch /var/log/wtmp
  • 设置登录日志文件用户组 # /bin/chown root:utmp /var/log/wtmp
  • 设置登录日志文件权限 # /bin/chmod 664 /var/log/wtmp

恢复SELinux(安全增强Linux)设置
  • 查看 SELinux 状态 # /usr/sbin/sestatus -v
  • 检查 /var/log 文件夹的安全上下文 # /sbin/restorecon -rn -vv /var/log
  • 恢复 /var/log 文件夹的安全上下文 # /sbin/restorecon -r -vv /var/log
  • 检查 /etc 文件夹的安全上下文 # /sbin/restorecon -rn -vv /etc 2>/dev/null
  • 恢复 /etc 文件夹的安全上下文 # /sbin/restorecon -r -vv /etc 2>/dev/null
  • 检查 /lib 文件夹的安全上下文 # /sbin/restorecon -rn -vv /lib 2>/dev/null

(免费开源的putty软件竟然在百度做推广)

(免费开源的winscp软件竟然在百度做推广)


这两个网站有相同的创建时间,相同的界面风格,如果看源代码,应该是同一套程序开发的。


相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
目录
相关文章
|
Oracle JavaScript 前端开发
Navicat premium16注册机永久破解激活(附安装包和注册机文件)
navicat16破解直达:https://cloud.fynote.com/share/d/9GwoJQQAC
9106 0
|
存储 网络协议 Linux
把Linux服务器做成一个下载器,实现远程下载
把Linux服务器做成一个下载器,实现远程下载
把Linux服务器做成一个下载器,实现远程下载
|
11天前
|
数据安全/隐私保护 Windows
一个被加入自动下载灰鸽子的代码的网站
一个被加入自动下载灰鸽子的代码的网站
|
12天前
|
Windows
从网站下载软件也要小心
从网站下载软件也要小心
|
5月前
|
安全 数据安全/隐私保护 Windows
Windows文件搜索神器Everything安装配置结合内网穿透实现公网查询本地文件
Windows文件搜索神器Everything安装配置结合内网穿透实现公网查询本地文件
|
5月前
|
CDN
软件包如何实现批量上传至CDN并且生成软件包下载链接,然后链接自动在手机上下载安装软件
在一个软件包用公司系统上传到阿里云的cdn,但是速度很慢并且只能一条条进行,上传完毕后生成一条条下载链接然后再去其他系统把他推广出去,生成推广链接后再用此链接自动手机下载安装(主要看落地页),这种能够优化吗
CobaltStrike4.2-下载
CobaltStrike4.2-下载
|
安全 数据安全/隐私保护
FileZilla软件下载、站点配置与文件传输的方法
本文介绍FileZilla软件的下载、配置与使用方法~
456 1
FileZilla软件下载、站点配置与文件传输的方法
|
Web App开发
用户脚本管理器 Tampermonkey 安装使用图文教程
Tampermonkey是一款备受欢迎的浏览器扩展和用户脚本管理器,它适用于目前各种主流浏览器。 方便的脚本管理(正在运行的脚本和可以运行的脚本在图标处显示一览无余) 脚本自动更新(可以设置更新频率,保持脚本处于最新版本) 设置白名单(将不需要使用脚本的网站加入名单) chrome同步(多个chrome浏览器可以同步脚本设置)
用户脚本管理器 Tampermonkey 安装使用图文教程
|
存储 缓存 安全
CleanMyMac X2023免费macOS系统电脑清理软件下载
相信不少的小伙伴都在用苹果电脑,不论是 iMac,还是 MacBook,用着用着电脑就变慢了。这通病与苹果电脑的性能无关,主要是硬盘空间不足的问题!当然你可以在购买电脑的时候就把硬盘升级,但主要的问题是 – 没有钱!青小蛙一直在用的一个好用的软件,叫做 CleanMyMac X。CleanMyMac X2023下载如下:http://t.csdn.cn/sa393
158 0