// 六月 22nd, 2010 //

今天更新ibooks字体，发现ipad连不上，找了一大圈，很多人都说这是中了一个ssh的蠕虫。大半是由于下载xx游戏或者一些第三方源中的一些插件造成的。蠕虫这事儿可大可小，可能窃取账号密码，也可能啥都不干，还是小心为上。这事儿还是挺丢脸的，呵呵。

可能很多人看不懂杀毒的方法，先说我的防护和建议吧

1. 尽量不要xx，这是显而易见的。xx其实就是拿到了iPAD的管理员权限，你可以做任何事情，当然别人可会。apple出厂时给到用户的并不是{zg}权限的账户，用户可以安装程序，但无法解除到系统自身的文件和设置。xx就是通过一些漏洞来获取到这个权限。在享受到便利的同时也会有危险。
2. 如果你一定要xx，请在xx后，立即修改Root密码。
3. 试图修改iOS文件系统是很危险的。OpenSSH一开，除了你自己，别人也可以通过网络连接到这个系统，如果没有修改密码，几乎就是裸奔在互联网上。即使用完也立即删除，关闭有时还不靠谱。等下次用的时候再装
4. 请一定安装“受信任”的源，本土一些论坛上说得花好稻好的软件和第三方源，通常都会隐藏着一些不可告人的秘密。我不是说他们不好，我也没有具体证据，但就我通常的经验，国内的“免费软件”的商业模式就是如此，所以他们很有作案动机来插点什么。
5. {zh1}，还是尽量不要xx。

以下是解决办法，万一跟我一样中了彩以后，可以这样解决。我也是网上找来的，但这篇比较全，故摘录一下，别让手艺绝了。

今天开机后突然发现SBS里的SSH的开关没有了，并且连不上winscp了，打开winscp显示<服务器异常关闭网络连接>。在网上找了很多内容，有的说是中ikee蠕虫病毒了，但是我的壁纸没有变成如图
的样子所以不确定是不是中毒了，但找不到解决办法，就按xx病毒的方法试了一下。

使用论坛的方法：
1、在cydia的威锋源里下了ssh蠕虫病毒xx工具，登陆winscp，结果无用。
2、在cydia里下载passwdUI，改了root密码，用新密码登陆winscp，结果无用。（如果越狱的机子{zh0}用它修改root密码，防止中毒）

实在没办法就抱着试试的心态使用了以下步骤：
（注意：此时己用passwdUI改了root密码）
1、在cydia里卸载open ssh然后重启手机（SBS里没有了ssh的开关）
2、重新同时安装open ssh和ssh蠕虫病毒xx工具（注意不要重启手机，此时SBS里没有开关，但是在SBS的more—set toggles下显示ssh己开启）
3、打开winscp用改的新密码登陆，居然成功了。(大家做到这一步就可以了，接下来使用第6步的方法)
4、重启手机后，SBS里出现ssh的开关，但是winscp又连不上手机了。
5、重复了第1、2、3步
6、使用以下方法：

（引用Sunny’s 部落格的文章）
其实iPhone上面的那个蠕虫病毒已经是去年的事情了，主要症状就是会作为一个Daemon程序驻守在iphone里面，然后定期去搜索同网络中的其他iPhone手机，利用其越狱后ssh密码后门散布自己。所以会干扰你的wifi网络和偷走你的GPRS流量（楼主补充：不知道大家总说的GPRS偷跑流量是不是这个原因，有这种情况的可以试试这个方法）。之前俺确实中过，并且干掉了，殊不知前两天为了玩Spirit的xx越狱，将机器升级到3.1.3，然后不是是因为越狱之后忘记了修改密码结果在公司网络里面感染了其他同事的iPhone（在twitter上面我说过，开会的时候左右后都是iphone），还是恢复了之前的设置，所以居然又中了（因为发现这两天机子耗电了，另外用一些需要上网的软件，例如TwitBird和开心网的时候会无缘无故退出，这个不知道是3.1.3兼容性问题还是真的因为蠕虫干扰网络害的，于是查了一下机器上面的文件，结果就发现了）。所以还是在自己的blog上面留个备份吧。
先是处理的问题：
删除以下路径的文件（有些不一定有）：

(1). /var/mobile/Library/LockBackground.jpg （先检查这个是你自定义的背景还是已经被病毒感染的，如果还是自己的就不用删除了）
(2). /System/Library/LaunchDaemons/com.ikey.bbot.plist
(3). /bin/poc-bbot
(4). /bin/sshpass
(5). /var/log/youcanbeclosertogod.jpg
(6). /var/lock/bbot.lock

记得删除文件之后要重启一下iphone
然后就是预防的办法，就是把缺省的用户密码（alpine）修改掉，封住蠕虫散播的后门。

修改root和mobile用户的密码

另外我还发现，在/var/logs/CrashReporter目录下面还会含有不少*bbot*.plist的文件，估计是poc-bbot程序crash掉的日志记录，可以一并删除。反正到{zh1}用root在根目录开始find（查找）一下有没有*bbot*的残余就好了。
（楼主补充：用winscp的查找功能，查找*bbot*，记得在两个星中间加入bbot）
iPhone封闭是为了自己稳定，你硬是要越狱干更多的事情，就预着要对付病毒和蠕虫的骚扰，出来行是要还的。

通过以上的方法终于winscp可以成功连接手机了，手机重启后（重启后SBS出现ssh开关），电脑重启后都没有问题。

一直在琢磨是怎么中的毒，{zh1}通过/var/logs/CrashReporter下文件的时间想起来，是昨晚用手机上了一个不河蟹的网站，今早就出问题了，所以在这里敬告大家，越狱之后把root和mobile密码修改了，并且不要上那些在电脑上打开会提示网页中有毒的网页和一些来路不明的网页。