XShell多版本存在后门,避免服务器账号密码被上传

重大事件,知名终端模拟软件 Xshell 多版本存在后门,或上传用户服务器账号密码。

日前,360CERT 获悉某安全公司发现 NetSarang 的 Xmanager, Xshell, Xftp, Xlpd 等产品中,发布的 nssock2.dll 模块中存在恶意代码,在 Xshell 5.0.1322 和 Xshell 5.0.1325 两个版本中均已确认恶意代码存在:

360CERT 通过行为分析发现后门会对一个箱子域名“nylalobghyhirgh.com”发起请求。

每个月通过特定算法生成一个新的控制域名,目前部分已经被作者注册

2017-06 vwrcbohspufip.com

2017-07 ribotqtonut.com

2017-08 nylalobghyhirgh.com

2017-09 jkvmdmjyfcvkf.com

2017-10 bafyvoruzgjitwr.com

2017-11 xmponmzmxkxkh.com

2017-12 tczafklirkl.com

存在后门版本(已验证)

Xshell Build 5.0.1322

Xshell Build 5.0.1325

Xmanager Enterprise 5.0 Build 1232

Xmanager 5.0 Build 1045

Xftp 5.0 Build 1218

Xftp 5.0 Build 1221

Xlpd 5.0 Build 1220

PS:国内大量下载站,目前都是上述有问题的版本。

没有问题的版本

Xmanager Enterprise Build 1236

Xmanager Build 1049

Xshell Build 1326

Xftp Build 1222

Xlpd Build 1224

https://download.netsarang.com

解决办法

去官方网站下载最新版本。最新 Builds 下载地址:https://www.netsarang.com/download/software.html

如果之前是从有问题版本升级到最新的,有可能信息已经泄露,保险起见建议修改密码,目前仅能证明该程序获取了(用户名、主机名、网络信息等),其他信息还在进一步核实。

另外,可以公司内网DNS或本机hosts添加以下内容,避免上传服务器密码

127.0.0.1 nylalobghyhirgh.com

127.0.0.1   vwrcbohspufip.com

127.0.0.1  ribotqtonut.com

127.0.0.1  nylalobghyhirgh.com

127.0.0.1  jkvmdmjyfcvkf.com

127.0.0.1  bafyvoruzgjitwr.com

127.0.0.1  xmponmzmxkxkh.com

127.0.0.1  tczafklirkl.com

目前 Xshell 最高版本为 Xshell 5 Build 1326,该版本更新于 2017 年 8 月 5 日。

简介

Xshell 是一款强大、著名的终端模拟软件,被广泛的用于服务器运维和管理,Xshell 支持 SSH,SFTP,TELNET,RLOGIN 和 SERIAL 功能。它提供业界领先的性能和强大功能,在免费终端模拟软件中有着不可替代的地位。企业版中拥有更专业的功能,其中包括:标签式的环境,动态端口转发,自定义键映射,用户定义按钮,VB 脚本和用于显示 2 byte 字符和支持国际语言的 UNICODE 终端。

Xshell 提供许多用户友好的,在其他终端终端模拟软件没有的功能。这些功能包括:通过拖放文件进行 Zmodem 文件上传,简单模式,全屏模式,透明度选项和自定义布局模式下载 Zmodem 文件。使用 Xshell 执行终端任务节省时间和精力。

参考来源

360网络安全研究院

360天眼实验室

360追日团队

360网络安全响应中心:https://cert.360.cn/warning/detail?id=07450801f090579304c01e9338cb0ffb

来自:安全客

未经允许不得转载:安全专题 » XShell多版本存在后门,避免服务器账号密码被上传

评论 0

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址