NetSarang旗下XShell和Xmanager多款软件被植入后门
近日,境内外多家安全公司爆料称NetSarang旗下Xmanager和Xshell等产品的多个版本被植入后门代码,由于相关软件在国内程序开发和运维人员中被广泛使用,可能导致大量用户服务器账号密码泄露。请及时检查您所使用的版本是否受影响,并采取安全防御措施。
使用了nssock2.dll 5.0.0.26的版本会受到影响,其中包括:影响范围
- Xmanager Enterprise 5.0 Build 1232
- Xmanager 5.0 Build 1045
- Xshell 5.0 Build 1322
- Xshell 5.0 Build 1325
- Xftp 5.0 Build 1218
- Xlpd 5.0 Build 1220
1、从官网下载最新版本进行升级:https://www.netsarang.com/download/software.html ; 2、排查2017年的DNS访问日志,如出现如下子域名相关访问记录,建议修改对应员工使用过Xmanager 、XShell、Xftp等相关的登录账号密码:修复方案
- vwrcbohspufip.com
- ribotqtonut.com
- nylalobghyhirgh.com
- jkvmdmjyfcvkf.com
- bafyvoruzgjitwr.com
- xmponmzmxkxkh.com
- tczafklirkl.com
某安全公司发现NetSarang的Xmanager, Xshell, Xftp, Xlpd等产品中,发布的nssock2.dll模块中存在恶意代码远程漏洞,存在后门的XShell等程序会在启动时发起大量请求DNS域名请求,并根据使用者系统时间生成不同的请求链接。有媒体报道,带后门的Xshell会向服务器传输敏感信息。 参考链接:https://www.netsarang.com/news/security_exploit_in_july_18_2017_build.html 。漏洞详情
