【重磅】著名终端模拟软件Xshell存在后门,分分钟上传服务器密码
发布作者:微思网络 发布时间:2017-08-15 浏览量:0次
简介
▼▼▼
Xshell是一款强大,著名的终端模拟软件,被广泛的用于厦门服务器运维和管理,Xshell支持SSH,SFTP,TELNET,RLOGIN和SERIAL功能。
它提供业界领先的性能和强大功能,在免费终端模拟软件中有着不可替代的地位。企业版中拥有更专业的功能其中包括:标签式的环境,动态端口转发,自定义键映射,用户定义按钮,VB脚本和用于显示2 byte字符和支持国际语言的UNICODE终端。
Xshell提供许多用户友好的,在其他终端终端模拟软件没有的功能。这些功能包括:通过拖放文件进行Zmodem文件上传和Zmodem文件下载,简易模式,全屏模式,透明度选项和自定义布局模式,等。使用Xshell执行终端任务节省时间和精力。
Xshell开发公司NetSarang发布公告称,2017年8月4日与卡巴斯基工程师发现Xshell软件中存在后门。黑客似乎入侵了相关开发人员的电脑,在源码植入后门,导致官方版本也受到影响。并且由于dll文件已有官方签名,众多杀毒软件依据白名单机制没有报毒。
目前xshell最高版本为 Xshell 5 Build 1326 该版本更新于2017年8月5日.
漏洞详情
▼▼▼
NetSarang的Xmanager和Xshell等远程连接产品在日常安全运维中使用量不小,但不幸的是,近日安全公司发现官方发布的软件版本中,nssock2.dll模块源码被植入后门。
在最近的软件版本中发现nssock2.dll模块的官方源码中被植入恶意后门代码:
官方公告
▼▼▼
值得一提的是1326的升级提示很有意思: 提示修复了 nssock2.dll 修复了一个远程漏洞(66666...Orz)
存在后门版本(已验证)
▼▼▼
Xshell Build 5.0.1322
Xshell Build 5.0.1325
Xmanager Enterprise 5.0 Build 1232
Xmanager 5.0 Build 1045
Xftp 5.0 Build 1218
Xftp 5.0 Build 1221
Xlpd 5.0 Build 1220
PS:国内大量下载站,目前都是上述有问题的版本
行为特征
▼▼▼
存在后门的版本会向nylalobghyhirgh.com发起请求,一天的访问量超过800万...除了官方版本强制更新,恐怕也找不到其他途径有这么多的量了。。。
数据来源360网络安全研究院
域名whois信息,该域名开启了隐私保护。
数据传输疑似通过DNS外带
数据来源360网络安全研究院
没有问题的版本
▼▼▼
Xmanager Enterprise Build 1236
Xmanager Build 1049
Xshell Build 1326
Xftp Build 1222
Xlpd Build 1224