【重大事件】知名终端模拟软件XSHELL多版本存在后门,或...

  • E
    Evalyn
    http://bobao.360.cn/news/detail/4263.html

    Xshell是一款强大,著名的终端模拟软件,被广泛的用于服务器运维和管理,Xshell支持SSH,SFTP,TELNET,RLOGIN和SERIAL功能。它提供业界领先的性能和强大功能,在免费终端模拟软件中有着不可替代的地位。企业版中拥有更专业的功能其中包括:标签式的环境,动态端口转发,自定义键映射,用户定义按钮,VB脚本和用于显示2 byte字符和支持国际语言的UNICODE终端。

    Xshell提供许多用户友好的,在其他终端终端模拟软件没有的功能。这些功能包括:通过拖放文件进行Zmodem文件上传和Zmodem文件下载,简易模式,全屏模式,透明度选项和自定义布局模式,等。使用Xshell执行终端任务节省时间和精力。

    目前xshell最高版本为 Xshell 5 Build 1326 该版本更新于2017年8月5日.


    官方公告:

    值得一提的是1326的升级提示很有意思: 提示修复了 nssock2.dll 修复了一个远程漏洞


    存在后门版本(已验证)

    Xshell Build 5.0.1322

    Xshell Build 5.0.1325

    Xmanager Enterprise 5.0 Build 1232

    Xmanager 5.0 Build 1045

    Xftp 5.0 Build 1218

    Xftp 5.0 Build 1221

    Xlpd 5.0 Build 1220


    PS:国内大量下载站,目前都是上述有问题的版本


    行为特征

    存在后门的版本会向nylalobghyhirgh.com发起请求,一天的访问量超过800万...除了官方版本强制更新,恐怕也找不到其他途径有这么多的量了。。。


    域名whois信息,该域名开启了隐私保护。


    数据传输疑似通过DNS外带


    没有问题的版本

    Xmanager Enterprise Build 1236

    Xmanager Build 1049

    Xshell Build 1326

    Xftp Build 1222

    Xlpd Build 1224


    https://download.netsarang.com(primary)

    https://download.netsarang.co.kr


    参考来源:360网络安全研究院、360天眼实验室、360追日团队


    PS:楼主莫名想起前几年putty的中马事件... 这真的是逼的人非装个Linux才能安心做开发了..

  • 沙悟净@蓝领
    貌似SecureCRT还没出过问题
  • E
    Evalyn
    论好用感觉xshell还是不错...

    CRT界面感觉有点怪怪的
  • 茎待佳阴
    吓得我赶紧去看看 Xshell版本
  • t
    tasagapro
    一直用的CRT
  • x
    xawi2000
    我也是一直用CRT,这个新闻今天刚看过了。
  • U
    UncleX3
    前几日已经更新了1326了,最近采用crt换到xshell...
  • z
    zhqiang
    以前使用xshell, 个人使用虽然免费,但是协议看不能在公司环境免费使用。
    所以目前使用Cygwin + openssh + tmux来替代

    希望这个组合目前还能撑一段时间。
  • c
    crcrane
    还是当初的netterm效果好,可惜不支持ssh。
  • M
    Marko
    没用过xshell,一直用CRT,去下个试试
  • 星空下的礼赞
    像我这样的外行,一直在用PUTTY,唉!
  • 飘翔剑客
    我想知道有没有技术手段可以绕开系统监控软件呀,比如偷偷访问某个网站,读写硬盘,或者通过网络传输数据,但任务管理器或其它监控软件(比如360/金山的网速监控)显示一切正常(上传/下载数值为0 Kb/s)?WIN 10环境下。
  • g
    golfcart
    喜欢它鹦鹉螺的标识
  • i
    ishadow
    一直用的crt
  • 最強幻象
    請分開後門和漏洞...
    漏洞是編程語句問題的意外留下來. 連自己可不知道有問題.
    後門是編程中有意編寫出來. 有特定觸發方法和用途. 留為日後己用的.
  • r
    rijating1
    一直用4.0啊
  • t
    ttloveyou8
    我也用的4,哈哈。
  • E
    Evalyn
    已经证实是被植入的恶意后门,通过畸形DNS请求收集用户机器的ip帐号密码信息。

    官方只是以“漏洞”为借口封堵了这个后门。不知道你想表达什么意思。
  • t
    trowa8509
    我用的Bitvise SSH Client
  • 沙悟净@蓝领
    putty的汉化版普遍植入后门
  • h
    hyes
    360天眼。。。
  • 5
    543211
    putty+直接linux,不知道为啥不是很喜欢这类存密码的
  • 恶魔℃υрιd
    不是有官方提供的简中语言包.不需要汉化版了啊
  • l
    leojay
    putty不是输入个IP,然后点Open就连服务器了吗?就这还要语言包?
  • 战争之翼
    CHH上程序员也还蛮多的嘛
  • E
    Evalyn
    其实putty功能还是蛮全的...

    就是不太理解为啥需要打语言包。。作为和程序打交道的,使用全英文的IDE和ssh工具没有任何违和感啊
  • d
    datura
    xshell稳定性那么差,性能也差得很……
    windows下能用的也许就secureCRT,不过是收费的
  • 最強幻象
    被人植入後門. 不是軟件本身有後門.
    這一點要分清楚.

    軟件有安全漏洞. 黑客利用這個漏洞植入後門. 對開發者來說是一個被一利用的漏洞. 就像苹果IOS的jailbreak.

    而後門便是苹果公司可以任意遠端鎖機. 下載你IOS機內的檔案的本身有的"工能". 而用家無法得知, 關閉.
  • d
    davelv
    我还在用4.
  • E
    Evalyn
    你似乎没搞清情况,后门出现在官方的Release build中。
    存在后门的dll文件证实有官方签名。

    这意味着不是内鬼就是代码托管出现严重安全问题或者被非法入侵。

    披着官方的皮发布的软件出现问题,可不是一两句安全漏洞能解释的清楚。何况这根本不是
    “所谓的黑客利用漏洞植入后门”

    这次的后门是软件自带的,谢谢。
  • w
    willamtang
    。。。中招了,mcfee报的时候我还以为是误报,下了个最新版本就没事了,以为杀错了。。。
  • 最強幻象
    既然是自帶. 那是就後門.
  • k
    kang.mk
    XSHELL目前发现的只是上传地址账户密码端口,至少暂时还没发现服务器被植入后门,及时改了问题应该不大,PUTTY当年被爆出直接在你服务器上植入后门安装别的东西,删除日志什么的,问题比这个严重多了
  • k
    kang.mk
    不过PUTTY跟官方没关系,是第三方汉化的自己植入的,XSHELL这可是官方的后门
  • m
    mzhao1115
    WTF
  • c
    cannibal2008
    不用想我用的就是中招版本
  • →L←
    都是内网环境用,无所谓了,还是喜欢用putty
  • j
    jetdragon
    草了,今天看到这个消息整个人都不好了,好在我用来访问外网只有几个vps
  • d
    dfdscx
    只用过putty
  • s
    socool
    我的XManager是1179,希望没问题。
  • w
    wu3889
    用TeraTerm的飘过-。-