XShell多版本存在后门，避免服务器账号密码被上传

重大事件，知名终端模拟软件 Xshell 多版本存在后门，或上传用户服务器账号密码。

日前，360CERT 获悉某安全公司发现 NetSarang 的 Xmanager, Xshell, Xftp, Xlpd 等产品中，发布的 nssock2.dll 模块中存在恶意代码，在 Xshell 5.0.1322 和 Xshell 5.0.1325 两个版本中均已确认恶意代码存在：

360CERT 通过行为分析发现后门会对一个箱子域名“nylalobghyhirgh.com”发起请求。

每个月通过特定算法生成一个新的控制域名，目前部分已经被作者注册

2017-06 vwrcbohspufip.com

2017-07 ribotqtonut.com

2017-08 nylalobghyhirgh.com

2017-09 jkvmdmjyfcvkf.com

2017-10 bafyvoruzgjitwr.com

2017-11 xmponmzmxkxkh.com

2017-12 tczafklirkl.com

存在后门版本（已验证）

Xshell Build 5.0.1322

Xshell Build 5.0.1325

Xmanager Enterprise 5.0 Build 1232

Xmanager 5.0 Build 1045

Xftp 5.0 Build 1218

Xftp 5.0 Build 1221

Xlpd 5.0 Build 1220

PS：国内大量下载站，目前都是上述有问题的版本。

没有问题的版本

Xmanager Enterprise Build 1236

Xmanager Build 1049

Xshell Build 1326

Xftp Build 1222

Xlpd Build 1224

https://download.netsarang.com

解决办法

去官方网站下载最新版本。最新 Builds 下载地址：https://www.netsarang.com/download/software.html

如果之前是从有问题版本升级到最新的，有可能信息已经泄露，保险起见建议修改密码，目前仅能证明该程序获取了（用户名、主机名、网络信息等），其他信息还在进一步核实。

另外，可以公司内网DNS或本机hosts添加以下内容，避免上传服务器密码

127.0.0.1 nylalobghyhirgh.com

127.0.0.1   vwrcbohspufip.com

127.0.0.1  ribotqtonut.com

127.0.0.1  nylalobghyhirgh.com

127.0.0.1  jkvmdmjyfcvkf.com

127.0.0.1  bafyvoruzgjitwr.com

127.0.0.1  xmponmzmxkxkh.com

127.0.0.1  tczafklirkl.com

目前 Xshell 最高版本为 Xshell 5 Build 1326，该版本更新于 2017 年 8 月 5 日。

简介

Xshell 是一款强大、著名的终端模拟软件，被广泛的用于服务器运维和管理，Xshell 支持 SSH，SFTP，TELNET，RLOGIN 和 SERIAL 功能。它提供业界领先的性能和强大功能，在免费终端模拟软件中有着不可替代的地位。企业版中拥有更专业的功能，其中包括：标签式的环境，动态端口转发，自定义键映射，用户定义按钮，VB 脚本和用于显示 2 byte 字符和支持国际语言的 UNICODE 终端。

Xshell 提供许多用户友好的，在其他终端终端模拟软件没有的功能。这些功能包括：通过拖放文件进行 Zmodem 文件上传，简单模式，全屏模式，透明度选项和自定义布局模式下载 Zmodem 文件。使用 Xshell 执行终端任务节省时间和精力。

参考来源

360网络安全研究院

360天眼实验室

360追日团队

360网络安全响应中心：https://cert.360.cn/warning/detail?id=07450801f090579304c01e9338cb0f

参考链接：

XShell多版本存在后门，避免服务器账号密码被上传 ：https://aqzt.com/5277.html