文/鄭先偉

漢化版SSH管理軟件發(fā)現(xiàn)“后門”

文/鄭先偉

SSH“后門”致千臺(tái)服務(wù)器存漏洞

春節(jié)及寒假期間教育網(wǎng)整體運(yùn)行平穩(wěn)，未發(fā)生重大安全事件。2月互聯(lián)網(wǎng)上值得關(guān)注的安全事件是有安全研究組織披露了部分漢化版的SSH管理軟件中存在預(yù)置的后門程序，這些后門程序會(huì)在用戶使用SSH管理軟件登錄服務(wù)器時(shí)記錄用戶的輸入并將相關(guān)信息（包括：SSH的用戶名、密碼、服務(wù)端口、服務(wù)器IP地址、連接時(shí)間及對(duì)應(yīng)的SSH軟件類型）發(fā)送到黑客指定的服務(wù)器。目前這些后門程序僅會(huì)隨有問題的軟件一塊運(yùn)行而不會(huì)駐留在系統(tǒng)的內(nèi)存或文件系統(tǒng)中，因此只要停用這些有問題的軟件就能清除該后門。本次涉及被植入后門的僅為部分漢化版的SSH軟件（包括：中文版的putty、WinSCP、SSHSecure、psftp），英文原版的相關(guān)軟件暫未發(fā)現(xiàn)存在植入后門的情況。事后有安全組織攻破黑客用來存儲(chǔ)這些后門程序發(fā)送信息的服務(wù)器，發(fā)現(xiàn)服務(wù)器上已經(jīng)記錄2萬余條用戶信息，在進(jìn)行去重處理統(tǒng)計(jì)后得出有1500多臺(tái)服務(wù)器的信息已經(jīng)被后門程序記錄并發(fā)送給攻擊者。這1500多臺(tái)服務(wù)器也包括不少教育網(wǎng)內(nèi)的服務(wù)器，因此我們提醒相關(guān)的服務(wù)器管理員盡快檢查自己使用的SSH管理軟件，如果發(fā)現(xiàn)是漢化版的應(yīng)該盡快停用，并修改相關(guān)軟件登錄過的服務(wù)器的用戶名和密碼，同時(shí)徹底檢查服務(wù)器安全，避免黑客使用獲得的用戶名和密碼侵入系統(tǒng)并預(yù)留后門的情況出現(xiàn)。

由于進(jìn)入寒假期間教育網(wǎng)的用戶量大大減少，安全投訴事件總體數(shù)量繼續(xù)維持在低位。

2012年1月～2012年2月教育網(wǎng)安全投訴事件統(tǒng)計(jì)

病毒與木馬

近期沒有新增危害特別嚴(yán)重的木馬病毒程序。需要提醒用戶注意的是由于寒假期間，很多機(jī)器處于長期未開機(jī)狀態(tài)，防病毒軟件的病毒庫及系統(tǒng)補(bǔ)丁程序都未能得到及時(shí)的更新，在新學(xué)期第一次開機(jī)時(shí)一定要先聯(lián)網(wǎng)進(jìn)行病毒庫版本的升級(jí)，并安裝相應(yīng)的系統(tǒng)補(bǔ)丁程序后再進(jìn)行其他互聯(lián)網(wǎng)操作。

近期新增嚴(yán)重漏洞評(píng)述

2月份新增的漏洞數(shù)量較1月份有所增加，但是整體還趨于平穩(wěn)，未暴露出影響特別嚴(yán)重的安全漏洞，以下是近期用戶需要關(guān)注的漏洞信息:

1. Firefox瀏覽器發(fā)布最新版本以修補(bǔ)之前版本中的多個(gè)安全漏洞，使用Firefox瀏覽器的用戶應(yīng)該手動(dòng)下載或是使用瀏覽器的自動(dòng)更新功能升級(jí)到最新版本。

2. 微軟發(fā)布2012年2月份的9個(gè)安全公告（MS12-008至MS12-016)，其中4個(gè)為嚴(yán)重等級(jí)，5個(gè)為重要等級(jí)，共修補(bǔ)包括Windows系統(tǒng)、IE瀏覽器、Office辦公軟件、.net開發(fā)組件、Silverlight組件以及媒體編解碼器中的21個(gè)安全漏洞。用戶應(yīng)該盡快使用系統(tǒng)自帶的更新功能更新相應(yīng)的補(bǔ)丁程序。

3. Adobe公司發(fā)布最新版本的Flash Player產(chǎn)品用于修補(bǔ)之前版本中存在的多個(gè)內(nèi)存破壞漏洞。用戶應(yīng)該盡快使用相關(guān)產(chǎn)品自帶的Update功能更新到最新版本。

4. RealPlayer媒體播放軟件發(fā)布新的版本（http://service.real.com/realplayer/security/en/），用于修補(bǔ)之前版本中存在的多個(gè)遠(yuǎn)程代碼執(zhí)行漏洞，用戶應(yīng)該盡快根據(jù)自己的使用情況升級(jí)相關(guān)的軟件到最新版本。

5. CCERT 研究組最近發(fā)現(xiàn)DNS協(xié)議的設(shè)計(jì)存在一個(gè)缺陷，并將這種缺陷命名為Ghost Domain Name。這個(gè)缺陷可能導(dǎo)致一些惡意的域名在被權(quán)威域名服務(wù)器清除后仍能長期存活于互聯(lián)網(wǎng)上。CVE漏洞庫已經(jīng)為這個(gè)缺陷專門配發(fā)漏洞編號(hào)（CVE-2012-1033）， ISC (負(fù)責(zé)BIND軟件開發(fā)維護(hù)的非盈利組織)也為此發(fā)布一個(gè)安全公告（https://www.isc.org/software/bind/advisories/cve-2012-1033），但是目前各DNS軟件還未針對(duì)該缺陷提供補(bǔ)丁程序，如何解決這一問題，DNS領(lǐng)域的專家正在討論，CCERT也將繼續(xù)跟進(jìn)這個(gè)問題。

MySQL未知細(xì)節(jié)遠(yuǎn)程代碼執(zhí)行漏洞

影響系統(tǒng)：

Oracle MySQL 5.5.20

漏洞信息：

MySQL是目前使用最為廣泛的免費(fèi)數(shù)據(jù)庫軟件，最近有安全公司在其漏洞掃描產(chǎn)品里發(fā)布MySQL的一個(gè)還未公開的遠(yuǎn)程任意代碼執(zhí)行漏洞的攻擊程序，掃描測試程序顯示這段攻擊代碼能夠在Debain系統(tǒng)中的MySQL 5.5.20上遠(yuǎn)程成功獲取系統(tǒng)權(quán)限，目前更多的漏洞細(xì)節(jié)信息還未公布。

漏洞危害：

攻擊者可以利用漏洞遠(yuǎn)程執(zhí)行任意代碼。由于MySQL在網(wǎng)絡(luò)上使用非常廣泛，一旦攻擊代碼被公布，將會(huì)帶來非常大的危害。

解決辦法：

目前廠商還沒有提供補(bǔ)丁或者升級(jí)程序，我們建議使用此軟件的用戶隨時(shí)關(guān)注廠商的主頁以獲取最新版本：http://www.oracle.com/technetwork/topics/security/

（作者單位為中國教育和科研計(jì)算機(jī)網(wǎng)應(yīng)急響應(yīng)組）