全球主机交流论坛

标题: 疑似SSHD爆0DAY (更新,好像是虚惊) [打印本页]
作者: 用户名    时间: 2012-1-23 15:43
标题: 疑似SSHD爆0DAY (更新,好像是虚惊)
本帖最后由 用户名 于 2012-1-23 15:55 编辑

更新内容如下
使用了
hxxp://www.winscp.cc/index.htm
hxxp://www.putty.org.cn
还有一个hxxp://putty.ws/
的软件

疑似钓鱼 带后门
机器中招特征

1.进程 .osyslog 或 .fsyslog 吃CPU超过100~1000%    (O与F 可能为随机)
2.有网络连接往 98.126.55.226:82 大概为主控
3.机器疯狂外发数据
4. /var/log被删除

同IP旁扫出现一个域名 oxoddos.com 并且站点名带中文
(, 下载次数: 14)

HTTP头返回IIS6
(, 下载次数: 3)

至于为什么我判定为SSHD爆了  那我也没办法解释

从同站IP来看,这事应该是国人干的
从HTTP头看,返回IIS6 更是能说是国人干的 (国外一般人的服务器不会考虑windows,更何况是2003)


目前临时解决办法
1.改SSH端口
2.使用密匙认证(好像不受影响)
作者: 母‪鸡    时间: 2012-1-23 15:43
。。。坑
作者: qiqibian    时间: 2012-1-23 15:44
这个0DAY严重了
作者: 母‪鸡    时间: 2012-1-23 15:44
扫了下C段,应该是vps的,求查询此服务器的vps商
作者: 用户名    时间: 2012-1-23 15:45
母‪鸡 发表于 2012-1-23 15:43
。。。坑

母鸡 快来拯救世界
作者: 网络寄生虫    时间: 2012-1-23 15:46
http://www.winscp.cc/index.htm

同服務器的站點  應該是這個軟件的問題
作者: 网络寄生虫    时间: 2012-1-23 15:47

C:\Documents and Settings\Administrator>ping www.winscp.cc

Pinging www.winscp.cc [98.126.55.226] with 32 bytes of data:

Reply from 98.126.55.226: bytes=32 time=235ms TTL=116
Reply from 98.126.55.226: bytes=32 time=250ms TTL=116
作者: 用户名    时间: 2012-1-23 15:48
网络寄生虫 发表于 2012-1-23 15:46
http://www.winscp.cc/index.htm

同服務器的站點  應該是這個軟件的問題

也有这个可能.....

也许是我的扫站软件跟你不一样

所以结果不一样
作者: 母‪鸡    时间: 2012-1-23 15:49
有没有可能是登录工具有后门,刚才在国外黑阔论坛查了下,应该暂时是没有0day,如果sshd出了0day第一个被干死的应该也是国外的大 站~
作者: qiqibian    时间: 2012-1-23 15:49
本帖最后由 qiqibian 于 2012-1-23 15:53 编辑
网络寄生虫 发表于 2012-1-23 15:47
C:\Documents and Settings\Administrator>ping www.winscp.cc

Pinging www.winscp.cc [98.126.55.226] w ...


这个是钓鱼站 和昨天那个putty.org.cn的一样的
作者: domin    时间: 2012-1-23 15:51
疑似tcp/ip爆漏洞
作者: 用户名    时间: 2012-1-23 15:55
domin 发表于 2012-1-23 15:51
疑似tcp/ip爆漏洞

有这回事??  我更新了帖子 疑似PUTTU/WINSCP钓鱼的问题
作者: 大胡子    时间: 2012-1-23 16:07
母‪鸡 发表于 2012-1-23 15:49
有没有可能是登录工具有后门,刚才在国外黑阔论坛查了下,应该暂时是没有0day,如果sshd出了0day第一个被干 ...

这个昨天我们不讨论过了吗 就是我用了带后门的putty
作者: helps    时间: 2012-1-23 16:15
都到这里举报吧
http://www.google.com/safebrowsing/report_badware/?hl=zh_CN
作者: johnnyfu829    时间: 2012-1-23 16:20
大胡子 发表于 2012-1-23 16:07
这个昨天我们不讨论过了吗 就是我用了带后门的putty

搞基搞多了的结果
作者: lazyzhu    时间: 2012-1-23 16:26
你们真是天生的一对
大胡子用户名
作者: Idea    时间: 2012-1-23 16:44
我要悲剧了
作者: meta168    时间: 2012-1-23 17:06
要忙死个人勒
作者: crazyvoip    时间: 2012-1-31 09:59
提示: 作者被禁止或删除 内容自动屏蔽
作者: guonning    时间: 2012-1-31 14:36
还是用原版的,用google
作者: timothyye    时间: 2012-1-31 15:49
还是直接用ssh命令比较靠谱



欢迎光临 全球主机交流论坛 (https://hostloc.gdisk.cf/) Powered by Discuz! X3.4