全球主机交流论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

CeraNetworks网络延迟测速工具IP归属甄别会员请立即修改密码
查看: 25066|回复: 20

疑似SSHD爆0DAY (更新,好像是虚惊)

[复制链接]
发表于 2012-1-23 15:43:03 | 显示全部楼层 |阅读模式
本帖最后由 用户名 于 2012-1-23 15:55 编辑

更新内容如下
使用了
hxxp://www.winscp.cc/index.htm
hxxp://www.putty.org.cn
还有一个hxxp://putty.ws/
的软件

疑似钓鱼 带后门

机器中招特征

1.进程 .osyslog 或 .fsyslog 吃CPU超过100~1000%    (O与F 可能为随机)
2.有网络连接往 98.126.55.226:82 大概为主控
3.机器疯狂外发数据
4. /var/log被删除


同IP旁扫出现一个域名 oxoddos.com 并且站点名带中文
01.jpg (11.17 KB, 下载次数: 14)

HTTP头返回IIS6
20120123153823.jpg (18.09 KB, 下载次数: 3)

至于为什么我判定为SSHD爆了  那我也没办法解释

从同站IP来看,这事应该是国人干的
从HTTP头看,返回IIS6 更是能说是国人干的 (国外一般人的服务器不会考虑windows,更何况是2003)


目前临时解决办法
1.改SSH端口
2.使用密匙认证(好像不受影响)
发表于 2012-1-23 15:43:35 | 显示全部楼层
。。。坑
发表于 2012-1-23 15:44:09 | 显示全部楼层
这个0DAY严重了
发表于 2012-1-23 15:44:28 | 显示全部楼层
扫了下C段,应该是vps的,求查询此服务器的vps商
 楼主| 发表于 2012-1-23 15:45:13 | 显示全部楼层
母‪鸡 发表于 2012-1-23 15:43
。。。坑

母鸡 快来拯救世界
发表于 2012-1-23 15:46:48 | 显示全部楼层
http://www.winscp.cc/index.htm

同服務器的站點  應該是這個軟件的問題
发表于 2012-1-23 15:47:19 | 显示全部楼层

C:\Documents and Settings\Administrator>ping www.winscp.cc

Pinging www.winscp.cc [98.126.55.226] with 32 bytes of data:

Reply from 98.126.55.226: bytes=32 time=235ms TTL=116
Reply from 98.126.55.226: bytes=32 time=250ms TTL=116
 楼主| 发表于 2012-1-23 15:48:49 | 显示全部楼层
网络寄生虫 发表于 2012-1-23 15:46
http://www.winscp.cc/index.htm

同服務器的站點  應該是這個軟件的問題

也有这个可能.....

也许是我的扫站软件跟你不一样

所以结果不一样
发表于 2012-1-23 15:49:27 | 显示全部楼层
有没有可能是登录工具有后门,刚才在国外黑阔论坛查了下,应该暂时是没有0day,如果sshd出了0day第一个被干死的应该也是国外的大 站~
发表于 2012-1-23 15:49:42 | 显示全部楼层
本帖最后由 qiqibian 于 2012-1-23 15:53 编辑
网络寄生虫 发表于 2012-1-23 15:47
C:\Documents and Settings\Administrator>ping www.winscp.cc

Pinging www.winscp.cc [98.126.55.226] w ...


这个是钓鱼站 和昨天那个putty.org.cn的一样的
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|全球主机交流论坛

GMT+8, 2024-10-11 01:08 , Processed in 0.067081 second(s), 11 queries , Gzip On, MemCache On.

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表