设为首页收藏本站

自己的路

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 21475|回复: 40

中文版putty后门事件的曝光过程及我们所受到的报复

[复制链接]
发表于 2012-2-2 15:30:52 | 显示全部楼层 |阅读模式
我们(LuManager官方)于元月31号晚上向论坛一万多LuManager的用户发送邮件通知,从而导致putty后门事件的曝光,在此细说后门的发现过程,并对360和百度等大公司的无所作为表示谴责!

######## Putty后门事件的曝光过程
* 2011年11月份,我们在用户的机器上发现/var/log目录无故被删除,由于LuManager的网站日志访问文件是在/var/log/nginx_vhost_log目录下,导致Nginx启动失败,网站无法访问。我们一时无法查出原因,总以为是用户操作错误而导致/var/log目录被删除,所以建议用户创建/var/log目录,而有多个用户向我们反馈这个问题后,我们开始怀疑是LuManager程序本身的问题,但我们最终没有查出原因,不得不更新LuManager程序版本,在用户每次访问LUM时检查/var/log目录是否存在,如果不存在,则创建一个。
001.png

* 元月份中旬,很多阿里云的云主机用户,同时也是LuManager的用户,向我们反馈云主机速度慢,CPU很高,网站不稳定...由于使用LUM的其它用户并没有向我们反馈这个问题,我们开始怀疑是他们的系统有问题(Rdh5.4和CentOS5.4),本人便将问题提交给阿里云的负责人包东东,于是,我们开始配合阿里云安全团队开始了putty后门的寻找行动。由于我们都习惯用putty的英文的无后门版本,即使我们大年三十还在拼命找原因,还是没有查出具体的原因。我们仅仅知道是由于/lib和/etc目录下的.fsyslog文件引起的,删除本文件,并杀死进程,便正常了。我们为了临时解决这个问题,发布了LuManager2.0.26,发现这两个文件,便及时删除
008.jpg

009.jpg

010.png
003.png

004.png

007.jpg

002.jpg

* 阿里云的技术人员怀疑是LuMananger软件有问题,让用户不要安装LuManager,而我们则怀疑是Reh(CentOS)系统旧版本的漏洞,推荐他们更换较新的系统,因为当时我们并没有Debian和FreeBSD用户向我们反馈过相关问题,当用户更新至新版的CentOS后,也运行正常。
013.png

* 春节我们并没有休息,而是继续查找漏洞。由于LuManager2.0.26的推出,原来/lib和/etc目录下的.fsyslog文件也换了名字,变成了.ksyslog,还有别的变种。
011.png

* 元月30号左右,经一位LuManager的用户提醒,经我们证实后,于元月31号凌晨2:40左右向上万用户发送了putty中文后门的邮件告警,并在,元月31号中午,由某人整理并向各大行业网站公布了putty的后门(为什么我们自己不公布?你懂的...)
006.png

######## Putty后门事件的曝光后,我们受到的报复(在此用“报复”这两个字,不知道是否合适?)
* 2012年1月31号16点开始,LuManager官方网站zijidelu.org受到连续三个多小时的攻击,导致网站无法访问
* 2012年2月1号8点左右,LuManager官方网站被连续攻击4小时左右,导致网站无法访问
* 2012年2月1号16点左右,LuManager官方网站被连续攻击3小时左右,导致网站无法访问

######## 百度,360,你们还好吗?
百度,懒得骂,你们干过什么,大家都清楚得很,竟然傻到直接把有后门的“开源”软件放到第一位!
Putty后门公布后,一个自称是360的员工和本人的聊天记录,哈哈,跟他们的老大的风格差不多...
putty.png
005.png

######## 补充
感谢阿里云团队,感谢配合一次次重装系统,并放心将系统密码交给我们的用户!
我们很冤枉,不是吗?我们有义务向用户发送邮件告警,不是吗?
它或者是它们,进铁笼子了吗?
如果有兴趣,可以收听本人的微博,可以基本了解我们过年期间都干了些什么:http://t.qq.com/loveworking











发表于 2012-2-2 15:51:35 | 显示全部楼层
本帖最后由 happyhtq 于 2012-2-2 15:57 编辑

前排占位~~~

陆羽算是国内娱乐圈一线明星了吧。。
发表于 2012-2-2 15:56:50 | 显示全部楼层
还是英文原版靠谱
发表于 2012-2-2 16:13:18 | 显示全部楼层
还好我一直用英文版 虽然我是个EN盲
发表于 2012-2-2 16:14:21 | 显示全部楼层
这个年过的。。。终究水落石出
发表于 2012-2-2 16:14:39 | 显示全部楼层
阿里云不错的,客户一直在用
发表于 2012-2-2 16:16:43 | 显示全部楼层
以后要加倍小心了,不要用来路不明的软件,用这种软件之前我就考虑过后门的问题
楼主断了某些人的财路
这个放后门的,程序没调试好,资源占用高,还删目录,不然也不会这样
发表于 2012-2-2 16:16:51 | 显示全部楼层
群主蛋碎了。
发表于 2012-2-2 16:17:00 | 显示全部楼层
占位,我也是受害者!这种不法的手段让人恼火!
发表于 2012-2-2 16:17:35 | 显示全部楼层
360就是个娱乐软件,什么程序都报下病毒,真正有病毒的不报!
发表于 2012-2-2 16:20:26 | 显示全部楼层
血案~!!!!!
发表于 2012-2-2 16:35:48 | 显示全部楼层
可恶之至的后门!
发表于 2012-2-2 17:01:41 | 显示全部楼层
路过 鄙视下
发表于 2012-2-2 17:38:52 | 显示全部楼层
顶 洞洞。  360扫出什么还要自己分析一下才行。不然把自己用的软件都删除了。哈。
发表于 2012-2-2 19:00:31 | 显示全部楼层
支持楼主。鄙视那些小人
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|小黑屋|Archiver|自己的路 ( 湘ICP备12010460号-2  粤公网安备 44010502000377号

GMT+8, 2019-1-21 10:27 , Processed in 0.091237 second(s), 27 queries .

Powered by Discuz! X3.2 Licensed

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表