疑似SSHD爆0DAY (更新,好像是虚惊)

用户名 · 发表于 2012-1-23 15:43:03

本帖最后由用户名于 2012-1-23 15:55 编辑

更新内容如下
使用了
hxxp://www.winscp.cc/index.htm
hxxp://www.putty.org.cn
还有一个hxxp://putty.ws/
的软件

疑似钓鱼带后门
机器中招特征

1.进程 .osyslog 或 .fsyslog 吃CPU超过100~1000% (O与F 可能为随机)
2.有网络连接往 98.126.55.226:82 大概为主控
3.机器疯狂外发数据
4. /var/log被删除

同IP旁扫出现一个域名 oxoddos.com 并且站点名带中文

01.jpg (11.17 KB, 下载次数: 14)

HTTP头返回IIS6

20120123153823.jpg (18.09 KB, 下载次数: 3)

至于为什么我判定为SSHD爆了那我也没办法解释

从同站IP来看,这事应该是国人干的
从HTTP头看,返回IIS6 更是能说是国人干的 (国外一般人的服务器不会考虑windows,更何况是2003)

目前临时解决办法
1.改SSH端口
2.使用密匙认证(好像不受影响)

母‪鸡 · 发表于 2012-1-23 15:43:35

。。。坑

qiqibian · 发表于 2012-1-23 15:44:09

这个0DAY严重了

母‪鸡 · 发表于 2012-1-23 15:44:28

扫了下C段，应该是vps的，求查询此服务器的vps商

用户名 · 发表于 2012-1-23 15:45:13

母‪鸡发表于 2012-1-23 15:43
。。。坑

母鸡快来拯救世界

网络寄生虫 · 发表于 2012-1-23 15:46:48

http://www.winscp.cc/index.htm

同服務器的站點應該是這個軟件的問題

网络寄生虫 · 发表于 2012-1-23 15:47:19

C:\Documents and Settings\Administrator>ping www.winscp.cc

Pinging www.winscp.cc [98.126.55.226] with 32 bytes of data:

Reply from 98.126.55.226: bytes=32 time=235ms TTL=116
Reply from 98.126.55.226: bytes=32 time=250ms TTL=116

用户名 · 发表于 2012-1-23 15:48:49

网络寄生虫发表于 2012-1-23 15:46
http://www.winscp.cc/index.htm

同服務器的站點應該是這個軟件的問題

也有这个可能.....

也许是我的扫站软件跟你不一样

所以结果不一样

母‪鸡 · 发表于 2012-1-23 15:49:27

有没有可能是登录工具有后门，刚才在国外黑阔论坛查了下，应该暂时是没有0day，如果sshd出了0day第一个被干死的应该也是国外的大站~

qiqibian · 发表于 2012-1-23 15:49:42

本帖最后由 qiqibian 于 2012-1-23 15:53 编辑

网络寄生虫发表于 2012-1-23 15:47
C:\Documents and Settings\Administrator>ping www.winscp.cc

Pinging www.winscp.cc [98.126.55.226] w ...

这个是钓鱼站和昨天那个putty.org.cn的一样的

		自动登录	找回密码
密码			注册