中文版putty後門事件的曝光過程及咱們所受到的報復

時間 2019-12-18

標籤中文版 putty 後門事件曝光過程咱們所受報復欄目 Windows 简体版

原文原文鏈接

咱們（LuManager官方）於元月31號晚上向論壇一萬多LuManager的用戶發送郵件通知，從而致使putty後門事件的曝光，在此細說後門的發現過程，並對360和百度等大公司的無所做爲表示譴責！

######## Putty後門事件的曝光過程
* 2011年11月份，咱們在用戶的機器上發現/var/log目錄無端被刪除，因爲LuManager的網站日誌訪問文件是在/var/log/nginx_vhost_log目錄下，致使Nginx啓動失敗，網站沒法訪問。咱們一時沒法查出緣由，總覺得是用戶操做錯誤而致使/var/log目錄被刪除，因此建議用戶建立/var/log目錄，而有多個用戶向咱們反饋這個問題後，咱們開始懷疑是LuManager程序自己的問題，但咱們最終沒有查出緣由，不得不更新LuManager程序版本，在用戶每次訪問LUM時檢查/var/log目錄是否存在，若是不存在，則建立一個。
php

* 元月份中旬，不少阿里雲的雲主機用戶，同時也是LuManager的用戶，向咱們反饋雲主機速度慢，CPU很高，網站不穩定...因爲使用LUM的其它用戶並無向咱們反饋這個問題，咱們開始懷疑是他們的系統有問題（Rdh5.4和CentOS5.4），本人便將問題提交給阿里雲的負責人包東東，因而，咱們開始配合阿里雲安全團隊開始了putty後門的尋找行動。因爲咱們都習慣用putty的英文的無後門版本，即便咱們大年三十還在拼命找緣由，仍是沒有查出具體的緣由。咱們僅僅知道是因爲/lib和/etc目錄下的.fsyslog文件引發的，刪除本文件，並殺死進程，便正常了。咱們爲了臨時解決這個問題，發佈了LuManager2.0.26，發現這兩個文件，便及時刪除
nginx

* 阿里雲的技術人員懷疑是LuMananger軟件有問題，讓用戶不要安裝LuManager，而咱們則懷疑是Reh（CentOS）系統舊版本的漏洞，推薦他們更換較新的系統，由於當時咱們並無Debian和FreeBSD用戶向咱們反饋過相關問題，當用戶更新至新版的CentOS後，也運行正常。
安全

* 春節咱們並無休息，而是繼續查找漏洞。因爲LuManager2.0.26的推出，原來/lib和/etc目錄下的.fsyslog文件也換了名字，變成了.ksyslog，還有別的變種。
ide

* 元月30號左右，經一位LuManager的用戶提醒，經咱們證明後，於元月31號凌晨2:40左右向上萬用戶發送了putty中文後門的郵件告警，並在，元月31號中午，由某人整理並向各大行業網站公佈了putty的後門（爲何咱們本身不公佈？你懂的...）
post

######## Putty後門事件的曝光後，咱們受到的報復（在此用「報復」這兩個字，不知道是否合適？）
* 2012年1月31號16點開始，LuManager官方網站zijidelu.org受到連續三個多小時的***，致使網站沒法訪問
* 2012年2月1號8點左右，LuManager官方網站被連續***4小時左右，致使網站沒法訪問
* 2012年2月1號16點左右，LuManager官方網站被連續***3小時左右，致使網站沒法訪問

######## 百度，360，大家還好嗎？
百度，懶得罵，大家幹過什麼，你們都清楚得很，居然傻到直接把有後門的「開源」軟件放到第一位！
Putty後門公佈後，一個自稱是360的員工和本人的聊天記錄，哈哈，跟他們的老大的風格差很少...
網站

######## 補充
感謝阿里雲團隊，感謝配合一次次重裝系統，並放心將系統密碼交給咱們的用戶！
咱們很冤枉，不是嗎？咱們有義務向用戶發送郵件告警，不是嗎？
它或者是它們，進鐵籠子了嗎？
若是有興趣，能夠收聽本人的微博，能夠基本瞭解咱們過年期間都幹了些什麼：http://t.qq.com/loveworking

阿里雲