疑似SSHD爆0DAY (更新,好像是虚惊)

用户名

更新内容如下
使用了
hxxp://www.winscp.cc/index.htm
hxxp://www.putty.org.cn
还有一个hxxp://putty.ws/
的软件

疑似钓鱼 带后门
机器中招特征

1.进程 .osyslog 或 .fsyslog 吃CPU超过100~1000%    (O与F 可能为随机)
2.有网络连接往 98.126.55.226:82 大概为主控
3.机器疯狂外发数据
4. /var/log被删除

同IP旁扫出现一个域名 oxoddos.com 并且站点名带中文
01.jpg (11.17 KB, 下载次数: 14)

2012-1-23 15:39 上传

点击文件名下载附件

HTTP头返回IIS6
20120123153823.jpg (18.09 KB, 下载次数: 3)

2012-1-23 15:39 上传

点击文件名下载附件

至于为什么我判定为SSHD爆了  那我也没办法解释

从同站IP来看,这事应该是国人干的
从HTTP头看,返回IIS6 更是能说是国人干的 (国外一般人的服务器不会考虑windows,更何况是2003)


目前临时解决办法
1.改SSH端口
2.使用密匙认证(好像不受影响)

母‪鸡

。。。坑

qiqibian

这个0DAY严重了

母‪鸡

扫了下C段，应该是vps的，求查询此服务器的vps商

用户名

母‪鸡 发表于 2012-1-23 15:43
。。。坑

母鸡 快来拯救世界

网络寄生虫

http://www.winscp.cc/index.htm

同服務器的站點  應該是這個軟件的問題

网络寄生虫

C:\Documents and Settings\Administrator>ping www.winscp.cc

Pinging www.winscp.cc [98.126.55.226] with 32 bytes of data:

Reply from 98.126.55.226: bytes=32 time=235ms TTL=116
Reply from 98.126.55.226: bytes=32 time=250ms TTL=116

用户名

网络寄生虫 发表于 2012-1-23 15:46
http://www.winscp.cc/index.htm

同服務器的站點  應該是這個軟件的問題

也有这个可能.....

也许是我的扫站软件跟你不一样

所以结果不一样

母‪鸡

有没有可能是登录工具有后门，刚才在国外黑阔论坛查了下，应该暂时是没有0day，如果sshd出了0day第一个被干死的应该也是国外的大 站~

qiqibian

网络寄生虫 发表于 2012-1-23 15:47
C:\Documents and Settings\Administrator>ping www.winscp.cc

Pinging www.winscp.cc [98.126.55.226] w ...

这个是钓鱼站 和昨天那个putty.org.cn的一样的