我們(LuManager官方)於元月31號晚上向論壇一萬多LuManager的用戶發送郵件通知,從而導致putty後門事件的曝光,在此細說後門的發現過程,並對360和百度等大公司的無所作爲表示譴責!
######## Putty後門事件的曝光過程
* 2011年11月份,我們在用戶的機器上發現/var/log目錄無故被刪除,由於LuManager的網站日誌訪問文件是在/var/log/nginx_vhost_log目錄下,導致Nginx啓動失敗,網站無法訪問。我們一時無法查出原因,總以爲是用戶操作錯誤而導致/var/log目錄被刪除,所以建議用戶創建/var/log目錄,而有多個用戶向我們反饋這個問題後,我們開始懷疑是LuManager程序本身的問題,但我們最終沒有查出原因,不得不更新LuManager程序版本,在用戶每次訪問LUM時檢查/var/log目錄是否存在,如果不存在,則創建一個。
* 元月份中旬,很多阿里雲的雲主機用戶,同時也是LuManager的用戶,向我們反饋雲主機速度慢,CPU很高,網站不穩定...由於使用LUM的其它用戶並沒有向我們反饋這個問題,我們開始懷疑是他們的系統有問題(Rdh5.4和CentOS5.4),本人便將問題提交給阿里雲的負責人包東東,於是,我們開始配合阿里雲安全團隊開始了putty後門的尋找行動。由於我們都習慣用putty的英文的無後門版本,即使我們大年三十還在拼命找原因,還是沒有查出具體的原因。我們僅僅知道是由於/lib和/etc目錄下的.fsyslog文件引起的,刪除本文件,並殺死進程,便正常了。我們爲了臨時解決這個問題,發佈了LuManager2.0.26,發現這兩個文件,便及時刪除
* 阿里雲的技術人員懷疑是LuMananger軟件有問題,讓用戶不要安裝LuManager,而我們則懷疑是Reh(CentOS)系統舊版本的漏洞,推薦他們更換較新的系統,因爲當時我們並沒有Debian和FreeBSD用戶向我們反饋過相關問題,當用戶更新至新版的CentOS後,也運行正常。
* 春節我們並沒有休息,而是繼續查找漏洞。由於LuManager2.0.26的推出,原來/lib和/etc目錄下的.fsyslog文件也換了名字,變成了.ksyslog,還有別的變種。
* 元月30號左右,經一位LuManager的用戶提醒,經我們證實後,於元月31號凌晨2:40左右向上萬用戶發送了putty中文後門的郵件告警,並在,元月31號中午,由某人整理並向各大行業網站公佈了putty的後門(爲什麼我們自己不公佈?你懂的...)
######## Putty後門事件的曝光後,我們受到的報復(在此用“報復”這兩個字,不知道是否合適?)
* 2012年1月31號16點開始,LuManager官方網站zijidelu.org受到連續三個多小時的***,導致網站無法訪問
* 2012年2月1號8點左右,LuManager官方網站被連續***4小時左右,導致網站無法訪問
* 2012年2月1號16點左右,LuManager官方網站被連續***3小時左右,導致網站無法訪問
######## 百度,360,你們還好嗎?
百度,懶得罵,你們幹過什麼,大家都清楚得很,竟然傻到直接把有後門的“開源”軟件放到第一位!
Putty後門公佈後,一個自稱是360的員工和本人的聊天記錄,哈哈,跟他們的老大的風格差不多...
######## 補充
感謝阿里雲團隊,感謝配合一次次重裝系統,並放心將系統密碼交給我們的用戶!
我們很冤枉,不是嗎?我們有義務向用戶發送郵件告警,不是嗎?
它或者是它們,進鐵籠子了嗎?
如果有興趣,可以收聽本人的微博,可以基本瞭解我們過年期間都幹了些什麼:http://t.qq.com/loveworking