汉化版SSH管理软件发现“后门”

文/郑先伟

汉化版SSH管理软件发现“后门”

文/郑先伟

SSH“后门”致千台服务器存漏洞

春节及寒假期间教育网整体运行平稳，未发生重大安全事件。2月互联网上值得关注的安全事件是有安全研究组织披露了部分汉化版的SSH管理软件中存在预置的后门程序，这些后门程序会在用户使用SSH管理软件登录服务器时记录用户的输入并将相关信息（包括：SSH的用户名、密码、服务端口、服务器IP地址、连接时间及对应的SSH软件类型）发送到黑客指定的服务器。目前这些后门程序仅会随有问题的软件一块运行而不会驻留在系统的内存或文件系统中，因此只要停用这些有问题的软件就能清除该后门。本次涉及被植入后门的仅为部分汉化版的SSH软件（包括：中文版的putty、WinSCP、SSHSecure、psftp），英文原版的相关软件暂未发现存在植入后门的情况。事后有安全组织攻破黑客用来存储这些后门程序发送信息的服务器，发现服务器上已经记录2万余条用户信息，在进行去重处理统计后得出有1500多台服务器的信息已经被后门程序记录并发送给攻击者。这1500多台服务器也包括不少教育网内的服务器，因此我们提醒相关的服务器管理员尽快检查自己使用的SSH管理软件，如果发现是汉化版的应该尽快停用，并修改相关软件登录过的服务器的用户名和密码，同时彻底检查服务器安全，避免黑客使用获得的用户名和密码侵入系统并预留后门的情况出现。

由于进入寒假期间教育网的用户量大大减少，安全投诉事件总体数量继续维持在低位。

2012年1月～2012年2月教育网安全投诉事件统计

病毒与木马

近期没有新增危害特别严重的木马病毒程序。需要提醒用户注意的是由于寒假期间，很多机器处于长期未开机状态，防病毒软件的病毒库及系统补丁程序都未能得到及时的更新，在新学期第一次开机时一定要先联网进行病毒库版本的升级，并安装相应的系统补丁程序后再进行其他互联网操作。

近期新增严重漏洞评述

2月份新增的漏洞数量较1月份有所增加，但是整体还趋于平稳，未暴露出影响特别严重的安全漏洞，以下是近期用户需要关注的漏洞信息:

1. Firefox浏览器发布最新版本以修补之前版本中的多个安全漏洞，使用Firefox浏览器的用户应该手动下载或是使用浏览器的自动更新功能升级到最新版本。

2. 微软发布2012年2月份的9个安全公告（MS12-008至MS12-016)，其中4个为严重等级，5个为重要等级，共修补包括Windows系统、IE浏览器、Office办公软件、.net开发组件、Silverlight组件以及媒体编解码器中的21个安全漏洞。用户应该尽快使用系统自带的更新功能更新相应的补丁程序。

3. Adobe公司发布最新版本的Flash Player产品用于修补之前版本中存在的多个内存破坏漏洞。用户应该尽快使用相关产品自带的Update功能更新到最新版本。

4. RealPlayer媒体播放软件发布新的版本（http://service.real.com/realplayer/security/en/），用于修补之前版本中存在的多个远程代码执行漏洞，用户应该尽快根据自己的使用情况升级相关的软件到最新版本。

5. CCERT 研究组最近发现DNS协议的设计存在一个缺陷，并将这种缺陷命名为Ghost Domain Name。这个缺陷可能导致一些恶意的域名在被权威域名服务器清除后仍能长期存活于互联网上。CVE漏洞库已经为这个缺陷专门配发漏洞编号（CVE-2012-1033）， ISC (负责BIND软件开发维护的非盈利组织)也为此发布一个安全公告（https://www.isc.org/software/bind/advisories/cve-2012-1033），但是目前各DNS软件还未针对该缺陷提供补丁程序，如何解决这一问题，DNS领域的专家正在讨论，CCERT也将继续跟进这个问题。

MySQL未知细节远程代码执行漏洞

影响系统：

Oracle MySQL 5.5.20

漏洞信息：

MySQL是目前使用最为广泛的免费数据库软件，最近有安全公司在其漏洞扫描产品里发布MySQL的一个还未公开的远程任意代码执行漏洞的攻击程序，扫描测试程序显示这段攻击代码能够在Debain系统中的MySQL 5.5.20上远程成功获取系统权限，目前更多的漏洞细节信息还未公布。

漏洞危害：

攻击者可以利用漏洞远程执行任意代码。由于MySQL在网络上使用非常广泛，一旦攻击代码被公布，将会带来非常大的危害。

解决办法：

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：http://www.oracle.com/technetwork/topics/security/

（作者单位为中国教育和科研计算机网应急响应组）