中文版putty后门事件的曝光过程及咱们所受到的报复

时间 2019-12-18

标签中文版 putty 后门事件曝光过程咱们所受报复栏目 Windows 繁體版

原文原文链接

咱们（LuManager官方）于元月31号晚上向论坛一万多LuManager的用户发送邮件通知，从而致使putty后门事件的曝光，在此细说后门的发现过程，并对360和百度等大公司的无所做为表示谴责！

######## Putty后门事件的曝光过程
* 2011年11月份，咱们在用户的机器上发现/var/log目录无端被删除，因为LuManager的网站日志访问文件是在/var/log/nginx_vhost_log目录下，致使Nginx启动失败，网站没法访问。咱们一时没法查出缘由，总觉得是用户操做错误而致使/var/log目录被删除，因此建议用户建立/var/log目录，而有多个用户向咱们反馈这个问题后，咱们开始怀疑是LuManager程序自己的问题，但咱们最终没有查出缘由，不得不更新LuManager程序版本，在用户每次访问LUM时检查/var/log目录是否存在，若是不存在，则建立一个。
php

* 元月份中旬，不少阿里云的云主机用户，同时也是LuManager的用户，向咱们反馈云主机速度慢，CPU很高，网站不稳定...因为使用LUM的其它用户并无向咱们反馈这个问题，咱们开始怀疑是他们的系统有问题（Rdh5.4和CentOS5.4），本人便将问题提交给阿里云的负责人包东东，因而，咱们开始配合阿里云安全团队开始了putty后门的寻找行动。因为咱们都习惯用putty的英文的无后门版本，即便咱们大年三十还在拼命找缘由，仍是没有查出具体的缘由。咱们仅仅知道是因为/lib和/etc目录下的.fsyslog文件引发的，删除本文件，并杀死进程，便正常了。咱们为了临时解决这个问题，发布了LuManager2.0.26，发现这两个文件，便及时删除
nginx

* 阿里云的技术人员怀疑是LuMananger软件有问题，让用户不要安装LuManager，而咱们则怀疑是Reh（CentOS）系统旧版本的漏洞，推荐他们更换较新的系统，由于当时咱们并无Debian和FreeBSD用户向咱们反馈过相关问题，当用户更新至新版的CentOS后，也运行正常。
安全

* 春节咱们并无休息，而是继续查找漏洞。因为LuManager2.0.26的推出，原来/lib和/etc目录下的.fsyslog文件也换了名字，变成了.ksyslog，还有别的变种。
ide

* 元月30号左右，经一位LuManager的用户提醒，经咱们证明后，于元月31号凌晨2:40左右向上万用户发送了putty中文后门的邮件告警，并在，元月31号中午，由某人整理并向各大行业网站公布了putty的后门（为何咱们本身不公布？你懂的...）
post

######## Putty后门事件的曝光后，咱们受到的报复（在此用“报复”这两个字，不知道是否合适？）
* 2012年1月31号16点开始，LuManager官方网站zijidelu.org受到连续三个多小时的***，致使网站没法访问
* 2012年2月1号8点左右，LuManager官方网站被连续***4小时左右，致使网站没法访问
* 2012年2月1号16点左右，LuManager官方网站被连续***3小时左右，致使网站没法访问

######## 百度，360，大家还好吗？
百度，懒得骂，大家干过什么，你们都清楚得很，居然傻到直接把有后门的“开源”软件放到第一位！
Putty后门公布后，一个自称是360的员工和本人的聊天记录，哈哈，跟他们的老大的风格差很少...
网站

######## 补充
感谢阿里云团队，感谢配合一次次重装系统，并放心将系统密码交给咱们的用户！
咱们很冤枉，不是吗？咱们有义务向用户发送邮件告警，不是吗？
它或者是它们，进铁笼子了吗？
若是有兴趣，能够收听本人的微博，能够基本了解咱们过年期间都干了些什么：http://t.qq.com/loveworking

阿里云