分类 黑客与安全 下的文章

February 20, 2012

中国联通自定义10010给任意联通号发短信漏洞

漏洞详情
披露状态:
2012-02-14: 细节已通知厂商并且等待厂商处理中
2012-02-19: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
任何人都可以用官方10010给联通手机号发送短信,被用来短信诈骗,危害很大
详细说明:
http://info.10010.com/lt/plugin/portal/vild.do是联通用来给客户发联通营业厅信息的,任何人都可以自定义信息发给联通号码,接收的人看到是10010发的,相信程度很高,所以很危险啊

详情可以查看:http://www.wooyun.org/bugs/wooyun-2010-04501/

这里公布一段利用的代码:
中国联通短信漏洞

验证码


短信接收者

内容

目前联通已经把利用页面删除,但是估计还没有修补此漏洞,找到页面依旧可以利用,至于为什么等失效后发布,因为本站不想承受法律责任,不传播非法利用的代码!只是本人已经在失效前已经测试了,也给一些朋友发过,呵呵...请大家不要相信近期10010发的短信,最好拨打核实,以免上当受骗!

February 9, 2012

修改Linux的SSH端口,解决一些安全问题.

今天有朋友问到我这方面的问题,我就在这里写出来提供给大家参考参考.
之前提到一些 扫描SSH密码 的行为,还有最近暴出的汉化版软件后门的事件,那么我们处理完一系列工作后,应该做什么来保障我们的系统安全呢?
这里我讲到的是修改系统默认的SSH端口:
首先修改配置文件:
vi /etc/ssh/sshd_config
找到#Port 22,这里是标识默认使用22端口,然后修改成为:
Port 22 Port 999
即去掉#Port 22前面的#,添加一些新的端口999.
这样22和999都成为SSH的登录端口了,然后保存退出.
执行:
/etc/init.d/sshd restart
如果开启了防火墙的,请编辑一下防火墙的配置:
vi /etc/sysconfig/iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 999 -j ACCEPT
这样就启动了999端口了,然后:
/etc/init.d/iptables restart

下面我们来看看能不能用新的端口999登录,如果可以的话,我们再次重复以上步骤:
vi /etc/ssh/sshd_config
在Port 22前面加上#,禁止SSH的默认端口22.
最后:/etc/init.d/sshd restart

为什么要这么麻烦这么做呢,因为一般大家都用root账户,在编辑的时候总是有一些笔误或者自己忘记自己添加的新端口是什么了,导致SSH不能登录,一方面我们可以看新端口是否生效,一方面也可以避免一些失误造成的麻烦!

好了,修改成自己知道的端口,以后就不怕那么做坏事的朋友天天扫描了,那些汉化软件后门窃取你的以前的数据也玩完了.

January 31, 2012

部分中文版PuTTY和WinSCP软件内置后门

多个安全达人在微博发布消息,称在汉化版putty、WinSCP、SSH Secure等工具中发现后门。经金山毒霸安全中心验证,这些汉化版管理工具的确存在后门程序,可窃取管理员帐号,从而完全控制linux服务器。建议linux系统管理员应立刻卸载这些汉化版软件,并尽快修改管理员密码。
近期已经有多名Linux服务器管理员爆出服务器被恶意攻击,导致系统root密码泄漏以及资料泄漏,经查可能是由于内置后门的PuTTY和WinSCP工具导致。

PuTTY是知名的Windows开源SSH管理工具,WinSCP是常用的开源SFTP工具。两者皆为免费、开源软件,其中PuTTY从没有官方中文版,而WinSCP已经拥有官方中文版。

但是在百度搜索这两款软件,均出现了竞价广告,并指向非官方授权的中文打包分发网站。不熟悉相关软件的朋友,可能下载到包含后门的SSH连接工具。

经查风险网站可能包含如下站点:

·Winscp中文站,http://www.winscp.cc/。

·Putty中文站,http://putty.org.cn/。

·Putty中文站,http://putty.ws/。

三风险网站界面相同,并且使用相同的流量统计代码。下载未经授权的中文打包软件,可能导致服务器管理员密码泄漏、资料泄漏以及服务器风险。

服务器中招的症状可能包括:

1、进程 .osyslog 或 .fsyslog 吃CPU超过100~1000%(O与F 可能为随机)

2、有网络连接往 98.126.55.226:82 大概为主控

3、机器疯狂外发数据

4、/var/log被删除

5、/etc/init.d/sshd被修改

如果你的服务器已经遭到风险威胁,可以尝试更改SSH连接端口,让攻击者找不到入口。

RTdot会将相关风险报告给相关安全厂商,希望网站技术人员从官方下载软件使用。

PuTTY,http://www.putty.org/
WinSCP,http://winscp.net

引用来源:bugbeta、hostloc、zijidelu

检查是否中招的方法:

搜索 /etc/.fsyslog /lib/.fsyslog文件是否存在。

金山毒霸、360安全卫士、QQ电脑管家均已通过官方微博证实消息
http://t.qq.com/p/t/67170110893984

http://weibo.com/1642668915/y3isb2Smm

将通过措施封杀相关后门网址,并建议用户删除相关软件。百度内部人士透露,正在积极进行内部清查,将相关竞价排名服务下线。

这里请大家及时的更改服务器密码,以及下载官方原版!
这里我提供我使用很久的一款putty汉化版,暂时没有发现有后门,不过还是建议去http://www.putty.org下载原版!
putty

  1. 1
  2. 2

Back to top