中文版putty后门事件的曝光过程及我们所受到的报复

我们（LuManager官方）于元月31号晚上向论坛一万多LuManager的用户发送邮件通知，从而导致putty后门事件的曝光，在此细说后门的发现过程，并对360和百度等大公司的无所作为表示谴责！

######## Putty后门事件的曝光过程
* 2011年11月份，我们在用户的机器上发现/var/log目录无故被删除，由于LuManager的网站日志访问文件是在/var/log/nginx_vhost_log目录下，导致Nginx启动失败，网站无法访问。我们一时无法查出原因，总以为是用户操作错误而导致/var/log目录被删除，所以建议用户创建/var/log目录，而有多个用户向我们反馈这个问题后，我们开始怀疑是LuManager程序本身的问题，但我们最终没有查出原因，不得不更新LuManager程序版本，在用户每次访问LUM时检查/var/log目录是否存在，如果不存在，则创建一个。

5 小时前 上传

下载附件 (9.6 KB)

 

* 元月份中旬，很多阿里云的云主机用户，同时也是LuManager的用户，向我们反馈云主机速度慢，CPU很高，网站不稳定...由于使用LUM的其它用户并没有向我们反馈这个问题，我们开始怀疑是他们的系统有问题（Rdh5.4和CentOS5.4），本人便将问题提交给阿里云的负责人包东东，于是，我们开始配合阿里云安全团队开始了putty后门的寻找行动。由于我们都习惯用putty的英文的无后门版本，即使我们大年三十还在拼命找原因，还是没有查出具体的原因。我们仅仅知道是由于/lib和/etc目录下的.fsyslog文件引起的，删除本文件，并杀死进程，便正常了。我们为了临时解决这个问题，发布了LuManager2.0.26，发现这两个文件，便及时删除

5 小时前 上传

下载附件 (35.95 KB)

 

5 小时前 上传

下载附件 (12.15 KB)

 

5 小时前 上传

下载附件 (132.07 KB)

 

5 小时前 上传

下载附件 (23.3 KB)

 

5 小时前 上传

下载附件 (16.75 KB)

 

5 小时前 上传

下载附件 (52.85 KB)

 

5 小时前 上传

下载附件 (33.15 KB)

 

* 阿里云的技术人员怀疑是LuMananger软件有问题，让用户不要安装LuManager，而我们则怀疑是Reh（CentOS）系统旧版本的漏洞，推荐他们更换较新的系统，因为当时我们并没有Debian和FreeBSD用户向我们反馈过相关问题，当用户更新至新版的CentOS后，也运行正常。

5 小时前 上传

下载附件 (27.23 KB)

 

* 春节我们并没有休息，而是继续查找漏洞。由于LuManager2.0.26的推出，原来/lib和/etc目录下的.fsyslog文件也换了名字，变成了.ksyslog，还有别的变种。

5 小时前 上传

下载附件 (16.36 KB)

 

* 元月30号左右，经一位LuManager的用户提醒，经我们证实后，于元月31号凌晨2:40左右向上万用户发送了putty中文后门的邮件告警，并在，元月31号中午，由某人整理并向各大行业网站公布了putty的后门（为什么我们自己不公布？你懂的...）

5 小时前 上传

下载附件 (19.94 KB)

 

######## Putty后门事件的曝光后，我们受到的报复（在此用“报复”这两个字，不知道是否合适？）
* 2012年1月31号16点开始，LuManager官方网站zijidelu.org受到连续三个多小时的攻击，导致网站无法访问
* 2012年2月1号8点左右，LuManager官方网站被连续攻击4小时左右，导致网站无法访问
* 2012年2月1号16点左右，LuManager官方网站被连续攻击3小时左右，导致网站无法访问

######## 百度，360，你们还好吗？
百度，懒得骂，你们干过什么，大家都清楚得很，竟然傻到直接把有后门的“开源”软件放到第一位！
Putty后门公布后，一个自称是360的员工和本人的聊天记录，哈哈，跟他们的老大的风格差不多...

5 小时前 上传

下载附件 (9.66 KB)

 

5 小时前 上传

下载附件 (3.09 KB)

 

######## 补充
感谢阿里云团队，感谢配合一次次重装系统，并放心将系统密码交给我们的用户！
我们很冤枉，不是吗？我们有义务向用户发送邮件告警，不是吗？
它或者是它们，进铁笼子了吗？
如果有兴趣，可以收听本人的微博，可以基本了解我们过年期间都干了些什么：http://t.qq.com/loveworking