首页 > 业界资讯, 本站原创, 渗透测试 > 中文版Putty 后门分析

中文版Putty 后门分析

作者:不走的钟

  今天IT行业微博热点 中文Putty多款软件存在后门,有的说被绑马,有后门众说纷纷。简单地说软件后门可以分为二种:

  一、正常软件与木马进行捆绑,当用户运行软件时,木马或者病毒自动运行,用户不知不觉便中了招。

  二、在软件代码中加入了特殊代码,让软件有“特别”的功能,如发送口令到指定服务器,完成木马功能。

007安全 和众安全爱好者也参与测试了一个中文版Putty,测试结果如下:

测试网站:http://www.putty.org.cn/

测试时间:2012-1-31日

测试情况:二款软件均有后门

网站首页:

后门分析过程,下载中文版本Putty,VM中测试,软件未发现病毒和木马,但当你填上用户和密码提交后,此软件会将用户和密码,软件信息等发送到指定网站,抓包如下图:

最后一行可以看到,有一个GET请求,就这后门发包处,root用户和密码都发送到了指定的网站,也就是说所有使用这个版本的Putty,只要你登陆过Linux/Unix,你的登陆用户账号和密码都通过这个GET请求发送到后门服务器中。

搞笑的亮点

 

不过很搞笑的是收密码的网站存在漏洞,并且是权限非常高,我写了一个小工具可以直接将数据暴出来,格式如下:主机-用户名-密码-登陆工具

如下图:

第一条数据表示的意思:

主机:115.x.x.137

用户:root

密码:fexxxxB2

登陆工具:Putty

(图中红块、文字中x 隐藏了直接的信息)

为了验证密码的真实性,我使用官方下载的Putty登陆验证,可以正确登陆上边账号和密码,如下图所示:

也就是说,使用过带后门的Putty或者WinSCP用户的密码都被泄露了,当你看到这里的时候,相信你再也不敢使用中文版的Putty、中文WinSCP了,建议大家去国外官方下载:

putty:http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
WinSCP:http://sourceforge.net/projects/winscp/files/WinSCP/4.3.6/winscp436setup.exe/download

  1. 007
    2012年2月1日09:22 | #1

    一整中文就不靠谱啊!嘿嘿~

  2. 小蔡一碟
    2012年2月1日21:11 | #2

    开源的东西,容易被动手脚啊,使用开源软件也要擦亮眼睛,要用就用官方版本!

  3. 2012年5月31日15:07 | #3

    没办法啊,现在这个念头,你敢用开源,别人就敢攻击你

  4. 2012年6月9日11:28 | #4

    中国人唉,自己人害自己,有技术不去做点正事。。。