經(jīng)金山毒霸安全中心驗(yàn)證， PuTTY、WinSCP和SSH Secure這三款Linux服務(wù)器管理軟件的漢化版本存在后門程序，可竊取管理員帳號(hào)，從而完全控制Linux服務(wù)器。

根據(jù)業(yè)內(nèi)安全人士掌握并分享的數(shù)據(jù)，至目前，PuTTY后門服務(wù)器受害賬戶已達(dá)到1萬(wàn)多，且仍在持續(xù)增加。

對(duì)此，安全廠商建議Linux系統(tǒng)管理員應(yīng)立刻卸載這些漢化版軟件，并盡快修改管理員密碼。如果服務(wù)器已經(jīng)遭到風(fēng)險(xiǎn)威脅，可以嘗試更改SSH連接端口，讓攻擊者找不到入口。

相關(guān)工具的英文版下載鏈接：

putty: http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

winscp: http://sourceforge.net/projects/winscp/files/WinSCP/4.3.6/winscp436setup.exe/download

ssh secure shell client: 這款工具的英文版已經(jīng)很久沒有更新過(guò)，最后一個(gè)版本3.2.9可以在很多國(guó)外大學(xué)的網(wǎng)站下載到，比如這里。

微博上有不少相關(guān)消息，摘抄部分如下：

·這件事兒怎么發(fā)現(xiàn)的？

@團(tuán)-長(zhǎng) ： 某大牛滲透 putty后門服務(wù)器……

·事件當(dāng)前的影響情況如何？

@楊冀龍 ： 這次ssh客戶端軟件偽中文版，竊取服務(wù)器root密碼近3萬(wàn)條，hp，ibm，oracle等大公司也中招，不過(guò)最讓人擔(dān)心的是web.sourceforge.net中招，估計(jì)很多開源軟件也中招了。

王文文IT：關(guān)于putty漢化版后門事件受影響的IP http://t.cn/zOPIMsf 感謝 @團(tuán)-長(zhǎng) 和 @嘰咕海 提供的線索

@李鐵軍：漢化版putty后門簡(jiǎn)單分析報(bào)告：http://t.cn/zOP5jIB，英文版putty沒有問(wèn)題。在用戶輸入完密碼和用戶名時(shí),程序會(huì)將病毒需要的信息（用戶名密碼）包保存起來(lái)發(fā)送到遠(yuǎn)程ASP空間。這個(gè)傳播帶毒putty的網(wǎng)站在中文網(wǎng)站中排名為64173，已相當(dāng)靠前。現(xiàn)在還很難估計(jì)有多少linux系統(tǒng)管理員受害。

@團(tuán)-長(zhǎng) ： 由于“Putty中文版”后門地址存在Sql注入所以可以查到所有記錄，但下午14時(shí)左右可能被人調(diào)用del 做注入查詢導(dǎo)致所有記錄被清，目前只能找到這些供各位自查，還請(qǐng)有關(guān)部門處理后門事件，避免更多的服務(wù)器受到影響。 http://t.cn/zOP5mqS

·防備和補(bǔ)救思路

panjiepan：剛看了一下putty/winscp的官方網(wǎng)站英文版的下載頁(yè)面都不是https的，下英文版的也不一定保險(xiǎn)。。。如果某些路由上有人要使壞的話。。。

@南非蜘蛛 [[56379]]： 大家都說(shuō)用官網(wǎng)putty，感覺事不關(guān)己？但是你的運(yùn)維團(tuán)隊(duì)有一個(gè)人用了有問(wèn)題的putty，你的服務(wù)器是不是就淪陷了那？大局為重。

感想：Stallman再次對(duì)了，不開源的軟件終歸是要綁架用戶的。這種管理員工具，有開源的盡量用開源的吧，下載后check一下md5，至少存在后門的可能性還是少點(diǎn)。遠(yuǎn)離來(lái)路不明的漢化版、破解、盜版軟件，會(huì)讓你的機(jī)器活得長(zhǎng)久些。