我們（LuManager官方）于元月31號(hào)晚上向論壇一萬多LuManager的用戶發(fā)送郵件通知，從而導(dǎo)致putty后門事件的曝光，在此細(xì)說后門的發(fā)現(xiàn)過程，并對360和百度等大公司的無所作為表示譴責(zé)！

######## Putty后門事件的曝光過程
* 2011年11月份，我們在用戶的機(jī)器上發(fā)現(xiàn)/var/log目錄無故被刪除，由于LuManager的網(wǎng)站日志訪問文件是在/var/log/nginx_vhost_log目錄下，導(dǎo)致Nginx啟動(dòng)失敗，網(wǎng)站無法訪問。我們一時(shí)無法查出原因，總以為是用戶操作錯(cuò)誤而導(dǎo)致/var/log目錄被刪除，所以建議用戶創(chuàng)建/var/log目錄，而有多個(gè)用戶向我們反饋這個(gè)問題后，我們開始懷疑是LuManager程序本身的問題，但我們最終沒有查出原因，不得不更新LuManager程序版本，在用戶每次訪問LUM時(shí)檢查/var/log目錄是否存在，如果不存在，則創(chuàng)建一個(gè)。

5?小時(shí)前 上傳 下載附件 (9.6 KB)

* 元月份中旬，很多阿里云的云主機(jī)用戶，同時(shí)也是LuManager的用戶，向我們反饋云主機(jī)速度慢，CPU很高，網(wǎng)站不穩(wěn)定...由于使用LUM的其它用戶并沒有向我們反饋這個(gè)問題，我們開始懷疑是他們的系統(tǒng)有問題（Rdh5.4和CentOS5.4），本人便將問題提交給阿里云的負(fù)責(zé)人包東東，于是，我們開始配合阿里云安全團(tuán)隊(duì)開始了putty后門的尋找行動(dòng)。由于我們都習(xí)慣用putty的英文的無后門版本，即使我們大年三十還在拼命找原因，還是沒有查出具體的原因。我們僅僅知道是由于/lib和/etc目錄下的.fsyslog文件引起的，刪除本文件，并殺死進(jìn)程，便正常了。我們?yōu)榱伺R時(shí)解決這個(gè)問題，發(fā)布了LuManager2.0.26，發(fā)現(xiàn)這兩個(gè)文件，便及時(shí)刪除

5?小時(shí)前 上傳 下載附件 (35.95 KB)

5?小時(shí)前 上傳 下載附件 (12.15 KB)

5?小時(shí)前 上傳 下載附件 (132.07 KB)

5?小時(shí)前 上傳 下載附件 (23.3 KB)

5?小時(shí)前 上傳 下載附件 (16.75 KB)

5?小時(shí)前 上傳 下載附件 (52.85 KB)

5?小時(shí)前 上傳 下載附件 (33.15 KB)

* 阿里云的技術(shù)人員懷疑是LuMananger軟件有問題，讓用戶不要安裝LuManager，而我們則懷疑是Reh（CentOS）系統(tǒng)舊版本的漏洞，推薦他們更換較新的系統(tǒng)，因?yàn)楫?dāng)時(shí)我們并沒有Debian和FreeBSD用戶向我們反饋過相關(guān)問題，當(dāng)用戶更新至新版的CentOS后，也運(yùn)行正常。

5?小時(shí)前 上傳 下載附件 (27.23 KB)

* 春節(jié)我們并沒有休息，而是繼續(xù)查找漏洞。由于LuManager2.0.26的推出，原來/lib和/etc目錄下的.fsyslog文件也換了名字，變成了.ksyslog，還有別的變種。

5?小時(shí)前 上傳 下載附件 (16.36 KB)

* 元月30號(hào)左右，經(jīng)一位LuManager的用戶提醒，經(jīng)我們證實(shí)后，于元月31號(hào)凌晨2:40左右向上萬用戶發(fā)送了putty中文后門的郵件告警，并在，元月31號(hào)中午，由某人整理并向各大行業(yè)網(wǎng)站公布了putty的后門（為什么我們自己不公布？你懂的...）

5?小時(shí)前 上傳 下載附件 (19.94 KB)

######## Putty后門事件的曝光后，我們受到的報(bào)復(fù)（在此用“報(bào)復(fù)”這兩個(gè)字，不知道是否合適？）
* 2012年1月31號(hào)16點(diǎn)開始，LuManager官方網(wǎng)站zijidelu.org受到連續(xù)三個(gè)多小時(shí)的***，導(dǎo)致網(wǎng)站無法訪問
* 2012年2月1號(hào)8點(diǎn)左右，LuManager官方網(wǎng)站被連續(xù)***4小時(shí)左右，導(dǎo)致網(wǎng)站無法訪問
* 2012年2月1號(hào)16點(diǎn)左右，LuManager官方網(wǎng)站被連續(xù)***3小時(shí)左右，導(dǎo)致網(wǎng)站無法訪問

######## 百度，360，你們還好嗎？
百度，懶得罵，你們干過什么，大家都清楚得很，竟然傻到直接把有后門的“開源”軟件放到第一位！
Putty后門公布后，一個(gè)自稱是360的員工和本人的聊天記錄，哈哈，跟他們的老大的風(fēng)格差不多...

5?小時(shí)前 上傳 下載附件 (9.66 KB)

5?小時(shí)前 上傳 下載附件 (3.09 KB)

######## 補(bǔ)充
感謝阿里云團(tuán)隊(duì)，感謝配合一次次重裝系統(tǒng)，并放心將系統(tǒng)密碼交給我們的用戶！
我們很冤枉，不是嗎？我們有義務(wù)向用戶發(fā)送郵件告警，不是嗎？
它或者是它們，進(jìn)鐵籠子了嗎？
如果有興趣，可以收聽本人的微博，可以基本了解我們過年期間都干了些什么：http://t.qq.com/loveworking

?

轉(zhuǎn)載于:https://blog.51cto.com/hellxman/771378

創(chuàng)作挑戰(zhàn)賽新人創(chuàng)作獎(jiǎng)勵(lì)來咯，堅(jiān)持創(chuàng)作打卡瓜分現(xiàn)金大獎(jiǎng)

總結(jié)

以上是生活随笔為你收集整理的中文版putty后门事件的曝光过程及我们所受到的报复的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。