【重大事件】知名終端模擬軟體XSHELL多官方版本存在後門，或上傳用戶伺服器賬號密碼！

作者：安全客 - 有思想的安全新媒體

原文鏈接：【重大事件】知名終端模擬軟體XSHELL多版本存在後門，或上傳用戶伺服器賬號密碼！（12：40分更新） - 安全客 - 有思想的安全新媒體

簡介

Xshell是一款強大,著名的終端模擬軟體，被廣泛的用於伺服器運維和管理,Xshell支持SSH，SFTP，TELNET，RLOGIN和SERIAL功能。

它提供業界領先的性能和強大功能，在免費終端模擬軟體中有著不可替代的地位。

企業版中擁有更專業的功能其中包括:標籤式的環境，動態埠轉發，自定義鍵映射，用戶定義按鈕，VB腳本和用於顯示2 byte字元和支持國際語言的UNICODE終端。

Xshell提供許多終端模擬軟體沒有的功能。包括:通過拖放文件進行Zmodem文件上傳，簡單模式，全屏模式，透明度選項和自定義布局模式下載Zmodem文件。使用Xshell執行終端任務節省時間和精力。

目前xshell最高版本為 Xshell 5 Build 1326 該版本更新於2017年8月5日.

官方公告

存在後門版本（已驗證）

• Xshell Build 5.0.1322
• Xshell Build 5.0.1325
• Xmanager Enterprise 5.0 Build 1232
• Xmanager 5.0 Build 1045
• Xftp 5.0 Build 1218
• Xftp 5.0 Build 1221
• Xlpd 5.0 Build 1220

PS：國內大量下載站，目前都是上述有問題的版本

行為特徵

存在後門的版本會向http://nylalobghyhirgh.com發起請求，一天的訪問量超過800萬...除了官方版本強制更新，恐怕也找不到其他途徑有這麼多的量了。。。

域名whois信息，該域名開啟了隱私保護。

數據傳輸疑似通過DNS外帶

沒有問題的版本

• Xmanager Enterprise Build 1236
• Xmanager Build 1049
• Xshell Build 1326
• Xftp Build 1222
• Xlpd Build 1224

https://download.netsarang.com(primary)

https://download.netsarang.co.kr

請儘快棄用存在後門版本，並更改伺服器密碼！

本文由 安全客 原創發布，如需轉載請註明來源及本文地址。

http://bobao.360.cn/news/detail/4263.html

——————————————————————————————————

以下是綠盟官方消息：

NetSarang的Xmanager和Xshell等遠程連接產品在日常安全運維中使用量不小，但不幸的是，近日安全公司發現官方發布的軟體版本中，nssock2.dll模塊源碼被植入後門。綠盟科技發布安全威脅通告，通告全文如下

netsarang公司軟體中的nssock2.dll模塊被植入惡意代碼安全威脅通告

NetSarang是一家提供安全鏈接解決方案的公司，該公司的產品主要包括Xmanager, Xmanager 3D, Xshell, Xftp 和Xlpd。

在最近的軟體版本中發現nssock2.dll模塊的官方源碼中被植入惡意後門代碼：

請儘快棄用存在後門版本，並更改伺服器密碼！

請儘快棄用存在後門版本，並更改伺服器密碼！

請儘快棄用存在後門版本，並更改伺服器密碼！