【重磅】著名终端模拟软件Xshell存在后门，分分钟上传服务器密码

发布作者：微思网络   发布时间：2017-08-15   浏览量：0次

简介

▼▼▼

Xshell是一款强大,著名的终端模拟软件，被广泛的用于厦门服务器运维和管理,Xshell支持SSH，SFTP，TELNET，RLOGIN和SERIAL功能。

它提供业界领先的性能和强大功能，在免费终端模拟软件中有着不可替代的地位。企业版中拥有更专业的功能其中包括:标签式的环境，动态端口转发，自定义键映射，用户定义按钮，VB脚本和用于显示2 byte字符和支持国际语言的UNICODE终端。

Xshell提供许多用户友好的，在其他终端终端模拟软件没有的功能。这些功能包括:通过拖放文件进行Zmodem文件上传和Zmodem文件下载，简易模式，全屏模式，透明度选项和自定义布局模式,等。使用Xshell执行终端任务节省时间和精力。

Xshell开发公司NetSarang发布公告称，2017年8月4日与卡巴斯基工程师发现Xshell软件中存在后门。黑客似乎入侵了相关开发人员的电脑，在源码植入后门，导致官方版本也受到影响。并且由于dll文件已有官方签名，众多杀毒软件依据白名单机制没有报毒。

目前xshell最高版本为 Xshell 5 Build 1326 该版本更新于2017年8月5日.

漏洞详情

▼▼▼

NetSarang的Xmanager和Xshell等远程连接产品在日常安全运维中使用量不小，但不幸的是，近日安全公司发现官方发布的软件版本中，nssock2.dll模块源码被植入后门。

在最近的软件版本中发现nssock2.dll模块的官方源码中被植入恶意后门代码：

官方公告

▼▼▼

值得一提的是1326的升级提示很有意思： 提示修复了 nssock2.dll 修复了一个远程漏洞（66666...Orz）

存在后门版本（已验证）

▼▼▼

Xshell Build 5.0.1322

Xshell Build 5.0.1325

Xmanager Enterprise 5.0 Build 1232

Xmanager 5.0 Build 1045

Xftp 5.0 Build 1218

Xftp 5.0 Build 1221

Xlpd 5.0 Build 1220

PS：国内大量下载站，目前都是上述有问题的版本

行为特征

▼▼▼

存在后门的版本会向nylalobghyhirgh.com发起请求，一天的访问量超过800万...除了官方版本强制更新，恐怕也找不到其他途径有这么多的量了。。。

数据来源360网络安全研究院

域名whois信息，该域名开启了隐私保护。

数据传输疑似通过DNS外带

数据来源360网络安全研究院

没有问题的版本

▼▼▼

Xmanager Enterprise Build 1236

Xmanager Build 1049

Xshell Build 1326

Xftp Build 1222

Xlpd Build 1224