簡述:html
近日,很是流行的遠程終端Xshell被發現被植入了後門代碼,用戶若是使用了特洛伊化的Xshell工具版本可能致使所敏感信息被泄露到***者所控制的機器。 web
Xshell特別是Build 1322在國內的使用面很大,敏感信息的泄露可能致使巨大的安全風險,咱們強烈建議用戶檢查本身所使用的Xshell版本,如發現,建議採起必要的補救措施。shell
Xshell 5.0 Build 1322xcode
Xshell 5.0 Build 1325安全
Xmanager Enterprise 5.0 Build 1232服務器
Xmanager 5.0 Build 1045網絡
Xftp 5.0 Build 1218app
Xlpd 5.0 Build 1220運維
360威脅情報中心發現其存在加載執行Shellcode的功能:
ide
調試發現Shellcode會收集主機信息,生成一個月一個的DGA域名並嘗試作解析,其中8月的域名爲nylalobghyhirgh.com,360威脅情報中心顯示此域名爲隱私保護狀態:
此域名目前已觀察到7月23日註冊,8月3日達到解析量的頂峯,從360網絡研究院的數據來看解析量很是巨大,達到800萬。
全部的請求類型爲NS記錄,也就是說域名極有可能被用來析出數據而不是用於C&C控制。
使用了***化Xshell的用戶很可能致使本機或相關所管理遠程系統的敏感信息泄露。
目前廠商已經在Xshell Build 1326及之後的版本中處理了這個問題,請升級到最新版本,修改相關係統的用戶名口令。
升級地址:https://www.netsarang.com/download/software.html
域名 |
說明 |
vwrcbohspufip.com |
6月DGA域名 |
ribotqtonut.com |
7月DGA域名 |
nylalobghyhirgh.com |
8月DGA域名 |
jkvmdmjyfcvkf.com |
9月DGA域名 |
bafyvoruzgjitwr.com |
10月DGA域名 |
文件HASH |
|
97363d50a279492fda14cbab53429e75 |
文件名nssock.dll |
攜程網安全運維總監雷兵建議:
以前也發生過 putty 中文版被人植入後門的事情,根據咱們以往的經驗,首先當即查版本, 有問題趕忙處理,刪除有後門版本,及時改服務器密碼。
被管服務器最好可以有源地址限制, 有條件的上雙因素認證,運維堡壘機,或證書驗證等其餘措施,避免由於用戶名密碼泄露就形成服務器失守。
用戶不要在非官網下載工具軟件,要有專人獲取安全漏洞信息並及時相應 。
還能夠對服務器登陸日誌進行自動化異常檢測,以及主機 hids 及時發現異常。
我國著名安全專家範淵:從xcoder到xshell事件能夠看出,***者已經不知足直接經過漏洞控制你了,而是經過植入後門到你使用的基礎軟件來控制你的一切。