【转载】紧急：中文版putty、WinSCP、SSH Secure后门！请立即更新

原文在http://www.youxia.org/2012/01/putty-WinSCP-SecureCRT-Backdoor.html 我再加个图 我曾经有一个朋友的服务器就是出现了下面说的1 3 4的问题，终于找到源头了。 转载开始。 凡是使用中文版putty、WinSCP、SSH Secure的用户请注意，它们很可能带有病毒，会导致root密码被盗走，进而盗取或破坏数据，利用服务器发攻击包等。 昨晚新浪微博的GrimCoder给给游侠（www.youxia.org）发消息，说中文版putty和winscp可能被植入后门；然后Mir_4ll3n又发了个文章；早上看到南非蜘蛛又贴了2个地址证实。今天早上游侠就综合下吧： 如果您的服务器出现如下问题： 1.进程 .osyslog 或 .fsyslog 吃CPU超过100~1000% (O与F 可能为随机) 2.有网络连接往 98.126.55.226:82（大概为主控） 3.机器疯狂外发数据 4./var/log被删除 5.同IP旁扫出现一个域名 oxoddos.com 并且站点名带中文 请立即检查系统安全性！ 同时，可能会/etc/init.d/sshd文件被修改： #!/bin/bash auto /lib/.fsyslog # # chkconfig: 2345 55 25 # description: OpenSSH server daemon # # processname: sshd 只要重启sshd，就被自动更改 同时建立一个到美国IP的TCP连接：98.126.55.226:82 增加了fsyslog（或osyslog）进程，耗费CPU严重 /var/log目录经常被删除 /etc 和/lib 目录 下多了很多隐藏文件 . 开头的，如： [root@www [...]