漢化版SSH管理軟件發現“后門”

文/鄭先偉

漢化版SSH管理軟件發現“后門”

文/鄭先偉

SSH“后門”致千臺服務器存漏洞

春節及寒假期間教育網整體運行平穩，未發生重大安全事件。2月互聯網上值得關注的安全事件是有安全研究組織披露了部分漢化版的SSH管理軟件中存在預置的后門程序，這些后門程序會在用戶使用SSH管理軟件登錄服務器時記錄用戶的輸入并將相關信息（包括：SSH的用戶名、密碼、服務端口、服務器IP地址、連接時間及對應的SSH軟件類型）發送到黑客指定的服務器。目前這些后門程序僅會隨有問題的軟件一塊運行而不會駐留在系統的內存或文件系統中，因此只要停用這些有問題的軟件就能清除該后門。本次涉及被植入后門的僅為部分漢化版的SSH軟件（包括：中文版的putty、WinSCP、SSHSecure、psftp），英文原版的相關軟件暫未發現存在植入后門的情況。事后有安全組織攻破黑客用來存儲這些后門程序發送信息的服務器，發現服務器上已經記錄2萬余條用戶信息，在進行去重處理統計后得出有1500多臺服務器的信息已經被后門程序記錄并發送給攻擊者。這1500多臺服務器也包括不少教育網內的服務器，因此我們提醒相關的服務器管理員盡快檢查自己使用的SSH管理軟件，如果發現是漢化版的應該盡快停用，并修改相關軟件登錄過的服務器的用戶名和密碼，同時徹底檢查服務器安全，避免黑客使用獲得的用戶名和密碼侵入系統并預留后門的情況出現。

由于進入寒假期間教育網的用戶量大大減少，安全投訴事件總體數量繼續維持在低位。

2012年1月～2012年2月教育網安全投訴事件統計

病毒與木馬

近期沒有新增危害特別嚴重的木馬病毒程序。需要提醒用戶注意的是由于寒假期間，很多機器處于長期未開機狀態，防病毒軟件的病毒庫及系統補丁程序都未能得到及時的更新，在新學期第一次開機時一定要先聯網進行病毒庫版本的升級，并安裝相應的系統補丁程序后再進行其他互聯網操作。

近期新增嚴重漏洞評述

2月份新增的漏洞數量較1月份有所增加，但是整體還趨于平穩，未暴露出影響特別嚴重的安全漏洞，以下是近期用戶需要關注的漏洞信息:

1. Firefox瀏覽器發布最新版本以修補之前版本中的多個安全漏洞，使用Firefox瀏覽器的用戶應該手動下載或是使用瀏覽器的自動更新功能升級到最新版本。

2. 微軟發布2012年2月份的9個安全公告（MS12-008至MS12-016)，其中4個為嚴重等級，5個為重要等級，共修補包括Windows系統、IE瀏覽器、Office辦公軟件、.net開發組件、Silverlight組件以及媒體編解碼器中的21個安全漏洞。用戶應該盡快使用系統自帶的更新功能更新相應的補丁程序。

3. Adobe公司發布最新版本的Flash Player產品用于修補之前版本中存在的多個內存破壞漏洞。用戶應該盡快使用相關產品自帶的Update功能更新到最新版本。

4. RealPlayer媒體播放軟件發布新的版本（http://service.real.com/realplayer/security/en/），用于修補之前版本中存在的多個遠程代碼執行漏洞，用戶應該盡快根據自己的使用情況升級相關的軟件到最新版本。

5. CCERT 研究組最近發現DNS協議的設計存在一個缺陷，并將這種缺陷命名為Ghost Domain Name。這個缺陷可能導致一些惡意的域名在被權威域名服務器清除后仍能長期存活于互聯網上。CVE漏洞庫已經為這個缺陷專門配發漏洞編號（CVE-2012-1033）， ISC (負責BIND軟件開發維護的非盈利組織)也為此發布一個安全公告（https://www.isc.org/software/bind/advisories/cve-2012-1033），但是目前各DNS軟件還未針對該缺陷提供補丁程序，如何解決這一問題，DNS領域的專家正在討論，CCERT也將繼續跟進這個問題。

MySQL未知細節遠程代碼執行漏洞

影響系統：

Oracle MySQL 5.5.20

漏洞信息：

MySQL是目前使用最為廣泛的免費數據庫軟件，最近有安全公司在其漏洞掃描產品里發布MySQL的一個還未公開的遠程任意代碼執行漏洞的攻擊程序，掃描測試程序顯示這段攻擊代碼能夠在Debain系統中的MySQL 5.5.20上遠程成功獲取系統權限，目前更多的漏洞細節信息還未公布。

漏洞危害：

攻擊者可以利用漏洞遠程執行任意代碼。由于MySQL在網絡上使用非常廣泛，一旦攻擊代碼被公布，將會帶來非常大的危害。

解決辦法：

目前廠商還沒有提供補丁或者升級程序，我們建議使用此軟件的用戶隨時關注廠商的主頁以獲取最新版本：http://www.oracle.com/technetwork/topics/security/

（作者單位為中國教育和科研計算機網應急響應組）