文/鄭先偉

漢化版SSH管理軟件發(fā)現(xiàn)“后門”

文/鄭先偉

SSH“后門”致千臺服務(wù)器存漏洞

春節(jié)及寒假期間教育網(wǎng)整體運行平穩(wěn)，未發(fā)生重大安全事件。2月互聯(lián)網(wǎng)上值得關(guān)注的安全事件是有安全研究組織披露了部分漢化版的SSH管理軟件中存在預(yù)置的后門程序，這些后門程序會在用戶使用SSH管理軟件登錄服務(wù)器時記錄用戶的輸入并將相關(guān)信息（包括：SSH的用戶名、密碼、服務(wù)端口、服務(wù)器IP地址、連接時間及對應(yīng)的SSH軟件類型）發(fā)送到黑客指定的服務(wù)器。目前這些后門程序僅會隨有問題的軟件一塊運行而不會駐留在系統(tǒng)的內(nèi)存或文件系統(tǒng)中，因此只要停用這些有問題的軟件就能清除該后門。本次涉及被植入后門的僅為部分漢化版的SSH軟件（包括：中文版的putty、WinSCP、SSHSecure、psftp），英文原版的相關(guān)軟件暫未發(fā)現(xiàn)存在植入后門的情況。事后有安全組織攻破黑客用來存儲這些后門程序發(fā)送信息的服務(wù)器，發(fā)現(xiàn)服務(wù)器上已經(jīng)記錄2萬余條用戶信息，在進(jìn)行去重處理統(tǒng)計后得出有1500多臺服務(wù)器的信息已經(jīng)被后門程序記錄并發(fā)送給攻擊者。這1500多臺服務(wù)器也包括不少教育網(wǎng)內(nèi)的服務(wù)器，因此我們提醒相關(guān)的服務(wù)器管理員盡快檢查自己使用的SSH管理軟件，如果發(fā)現(xiàn)是漢化版的應(yīng)該盡快停用，并修改相關(guān)軟件登錄過的服務(wù)器的用戶名和密碼，同時徹底檢查服務(wù)器安全，避免黑客使用獲得的用戶名和密碼侵入系統(tǒng)并預(yù)留后門的情況出現(xiàn)。

由于進(jìn)入寒假期間教育網(wǎng)的用戶量大大減少，安全投訴事件總體數(shù)量繼續(xù)維持在低位。

2012年1月～2012年2月教育網(wǎng)安全投訴事件統(tǒng)計

病毒與木馬

近期沒有新增危害特別嚴(yán)重的木馬病毒程序。需要提醒用戶注意的是由于寒假期間，很多機器處于長期未開機狀態(tài)，防病毒軟件的病毒庫及系統(tǒng)補丁程序都未能得到及時的更新，在新學(xué)期第一次開機時一定要先聯(lián)網(wǎng)進(jìn)行病毒庫版本的升級，并安裝相應(yīng)的系統(tǒng)補丁程序后再進(jìn)行其他互聯(lián)網(wǎng)操作。

近期新增嚴(yán)重漏洞評述

2月份新增的漏洞數(shù)量較1月份有所增加，但是整體還趨于平穩(wěn)，未暴露出影響特別嚴(yán)重的安全漏洞，以下是近期用戶需要關(guān)注的漏洞信息:

1. Firefox瀏覽器發(fā)布最新版本以修補之前版本中的多個安全漏洞，使用Firefox瀏覽器的用戶應(yīng)該手動下載或是使用瀏覽器的自動更新功能升級到最新版本。

2. 微軟發(fā)布2012年2月份的9個安全公告（MS12-008至MS12-016)，其中4個為嚴(yán)重等級，5個為重要等級，共修補包括Windows系統(tǒng)、IE瀏覽器、Office辦公軟件、.net開發(fā)組件、Silverlight組件以及媒體編解碼器中的21個安全漏洞。用戶應(yīng)該盡快使用系統(tǒng)自帶的更新功能更新相應(yīng)的補丁程序。

3. Adobe公司發(fā)布最新版本的Flash Player產(chǎn)品用于修補之前版本中存在的多個內(nèi)存破壞漏洞。用戶應(yīng)該盡快使用相關(guān)產(chǎn)品自帶的Update功能更新到最新版本。

4. RealPlayer媒體播放軟件發(fā)布新的版本（http://service.real.com/realplayer/security/en/），用于修補之前版本中存在的多個遠(yuǎn)程代碼執(zhí)行漏洞，用戶應(yīng)該盡快根據(jù)自己的使用情況升級相關(guān)的軟件到最新版本。

5. CCERT 研究組最近發(fā)現(xiàn)DNS協(xié)議的設(shè)計存在一個缺陷，并將這種缺陷命名為Ghost Domain Name。這個缺陷可能導(dǎo)致一些惡意的域名在被權(quán)威域名服務(wù)器清除后仍能長期存活于互聯(lián)網(wǎng)上。CVE漏洞庫已經(jīng)為這個缺陷專門配發(fā)漏洞編號（CVE-2012-1033）， ISC (負(fù)責(zé)BIND軟件開發(fā)維護(hù)的非盈利組織)也為此發(fā)布一個安全公告（https://www.isc.org/software/bind/advisories/cve-2012-1033），但是目前各DNS軟件還未針對該缺陷提供補丁程序，如何解決這一問題，DNS領(lǐng)域的專家正在討論，CCERT也將繼續(xù)跟進(jìn)這個問題。

MySQL未知細(xì)節(jié)遠(yuǎn)程代碼執(zhí)行漏洞

影響系統(tǒng)：

Oracle MySQL 5.5.20

漏洞信息：

MySQL是目前使用最為廣泛的免費數(shù)據(jù)庫軟件，最近有安全公司在其漏洞掃描產(chǎn)品里發(fā)布MySQL的一個還未公開的遠(yuǎn)程任意代碼執(zhí)行漏洞的攻擊程序，掃描測試程序顯示這段攻擊代碼能夠在Debain系統(tǒng)中的MySQL 5.5.20上遠(yuǎn)程成功獲取系統(tǒng)權(quán)限，目前更多的漏洞細(xì)節(jié)信息還未公布。

漏洞危害：

攻擊者可以利用漏洞遠(yuǎn)程執(zhí)行任意代碼。由于MySQL在網(wǎng)絡(luò)上使用非常廣泛，一旦攻擊代碼被公布，將會帶來非常大的危害。

解決辦法：

目前廠商還沒有提供補丁或者升級程序，我們建議使用此軟件的用戶隨時關(guān)注廠商的主頁以獲取最新版本：http://www.oracle.com/technetwork/topics/security/

（作者單位為中國教育和科研計算機網(wǎng)應(yīng)急響應(yīng)組）