基本簡介:
Xshell是一款強大,著名的終端模擬軟件,被廣泛的用于服務器運維和管理,Xshell支持SSH,SFTP,TELNET,RLOGIN和SERIAL功能。它提供業界領先的性能和強大功能,在免費終端模擬軟件中有著不可替代的地位。企業版中擁有更專業的功能其中包括:標簽式的環境,動態端口轉發,自定義鍵映射,用戶定義按鈕,VB腳本和用于顯示2 byte字符和支持國際語言的UNICODE終端。
Xshell提供許多用戶友好的,在其他終端終端模擬軟件沒有的功能。這些功能包括:通過拖放文件進行Zmodem文件上傳和Zmodem文件下載,簡易模式,全屏模式,透明度選項和自定義布局模式,等。使用Xshell執行終端任務節省時間和精力。
目前xshell最高版本為 Xshell 5 Build 1326 該版本更新于2017年8月5日.
漏洞情況:
日前,360CERT獲悉某安全公司發現NetSarang的Xmanager, Xshell, Xftp, Xlpd等產品中,發布的nssock2.dll模塊中存在惡意代碼,在Xshell 5.0.1322和Xshell 5.0.1325兩個版本中均已確認惡意代碼存在:
360CERT通過行為分析發現后門會對一個箱子域名“nylalobghyhirgh.com”發起請求。
存在后門版本(已驗證):
Xshell Build 5.0.1322
Xshell Build 5.0.1325
Xmanager Enterprise 5.0 Build 1232
Xmanager 5.0 Build 1045
Xftp 5.0 Build 1218
Xftp 5.0 Build 1221
Xlpd 5.0 Build 1220
PS:國內大量下載站,目前都是上述有問題的版本
解決辦法:
去官網網站下載更新最新版本
如果之前是從有問題版本升級到最新的,有可能信息已經泄露,保險起見建議修改密碼,目前僅能證明該程序獲取了(用戶名、主機名、網絡信息等),其他信息還在進一步核實。
參考:
360網絡安全研究院
360天眼實驗室
360追日團隊
360網絡安全響應中心:https://cert.#/warning/detail?id=07450801f090579304c01e9338cb0ffb
360威脅情報中心:http://mp.weixin.qq.com/s/YAtWrn6XzogOMEjQTww9RQ