預警:putty中文版和WinSCP漢化版內置後門

近日中文版putty、WinSCP等多款軟件被曝存在後門，可盜取服務器管理密碼，提醒服務器管理員務必小心提防，安裝官方軟件，卸載漢化版軟件，並及時修改管理員密碼。QQ電腦管家安全中心已將該後門網站屏蔽，下載該後門軟件亦可攔截。

　　PuTTY是知名的Windows開源SSH管理工具，WinSCP是常用的開源SFTP工具。兩者皆為免費、開源軟件，其中PuTTY沒有官方中文版，而WinSCP已經擁有官方中文版。近期已經有多名Linux服務器管理員爆出服務器密碼被盜，導致服務器被完全控制，甚至植入木馬。經查可能是由於內置後門的PuTTY和WinSCP工具導致，而這些內置後門的軟件皆來源於搜索引擎中指向的非官方授權網站。

 

　　經查風險網站可能包含如下站點：

　　•Winscp中文站，http://www.winscp.cc/。

　　•Putty中文站，http://putty.org.cn/。

　　•Putty中文站，http://putty.ws/。

　　三風險網站界面相同，並且使用相同的流量統計代碼。

　　服務器中招的症狀可能包括：

　　1、進程 .osyslog 或 .fsyslog 吃CPU超過100~1000%（O與F 可能為隨機）

　　2、有網絡連接往 98.126.55.226:82 大概為主控

　　3、機器瘋狂外發數據

　　4、/var/log被刪除

　　5、/etc/init.d/sshd被修改

　　檢查是否中招的方法：

　　搜索 /etc/.fsyslog /lib/.fsyslog文件是否存在。

　　中招後的應對方法：

　　如果你的服務器已經遭到風險威脅，可以嘗試更改SSH連接端口，讓攻擊者找不到入口。

　　另外，也希望網站技術人員從官方下載軟件使用，卸載該漢化版軟件。

　　軟件官方網站：

　　PuTTY，http://www.putty.org/。WinSCP，http://winscp.net。