【重大事件】知名终端模拟软件XSHELL多版本存在后门，或上传用户服务器账号密码！

简介

▼▼▼

Xshell是一款强大,著名的终端模拟软件，被广泛的用于服务器运维和管理,Xshell支持SSH，SFTP，TELNET，RLOGIN和SERIAL功能。

它提供业界领先的性能和强大功能，在免费终端模拟软件中有着不可替代的地位。企业版中拥有更专业的功能其中包括:标签式的环境，动态端口转发，自定义键映射，用户定义按钮，VB脚本和用于显示2 byte字符和支持国际语言的UNICODE终端。

Xshell提供许多用户友好的，在其他终端终端模拟软件没有的功能。这些功能包括:通过拖放文件进行Zmodem文件上传和Zmodem文件下载，简易模式，全屏模式，透明度选项和自定义布局模式,等。使用Xshell执行终端任务节省时间和精力。

目前xshell最高版本为 Xshell 5 Build 1326 该版本更新于2017年8月5日.

漏洞详情

▼▼▼

NetSarang的Xmanager和Xshell等远程连接产品在日常安全运维中使用量不小，但不幸的是，近日安全公司发现官方发布的软件版本中，nssock2.dll模块源码被植入后门。

在最近的软件版本中发现nssock2.dll模块的官方源码中被植入恶意后门代码：

官方公告

▼▼▼

值得一提的是1326的升级提示很有意思： 提示修复了 nssock2.dll 修复了一个远程漏洞（66666...Orz）

存在后门版本（已验证）

▼▼▼

Xshell Build 5.0.1322

Xshell Build 5.0.1325

Xmanager Enterprise 5.0 Build 1232

Xmanager 5.0 Build 1045

Xftp 5.0 Build 1218

Xftp 5.0 Build 1221

Xlpd 5.0 Build 1220

PS：国内大量下载站，目前都是上述有问题的版本

行为特征

▼▼▼

存在后门的版本会向nylalobghyhirgh.com发起请求，一天的访问量超过800万...除了官方版本强制更新，恐怕也找不到其他途径有这么多的量了。。。

数据来源360网络安全研究院

域名whois信息，该域名开启了隐私保护。

数据来源360网络安全研究院

数据传输疑似通过DNS外带

数据来源360网络安全研究院

没有问题的版本

▼▼▼

Xmanager Enterprise Build 1236

Xmanager Build 1049

Xshell Build 1326

Xftp Build 1222

Xlpd Build 1224

https://download.netsarang.com(primary)

https://download.netsarang.co.kr

文章来源：安全客、绿盟

隐藏福利

马哥教育联合图灵社区送福利啦

在本文下方留言

点赞第一名+第三名

即可分别获赠精美图书一本

点赞统计截止到

2017年8月15日（明日）8:00

（重复中奖无效）

奖品介绍

《深入Linux内核架构》

Professional Linux Kernel Architecture http://www.ituring.com.cn/book/167（目录及试读）

作者：Wolfgang Mauerer

译者：郭旭

• 豆瓣评分8.9分
• Linux内核首推大作，1000多页的“大金砖”

如果你能仔细啃完，你肯定会认同本书够细致、够全面，而且跟代码结合得很好。PS：这本书总是被拿来跟《深入理解Linux内核》比来比去，说实话，那本书在豆瓣上的评分比这本书高0.2分，不过不少读过两本书的读者非常严肃地评价这本比那本强，不如你两本都读读？