最近，Xshell的某個官方版本中被打包了惡意代碼，一旦運行此版本軟件，受害電腦極可能遭不法分子遠程控制。由于此版本可在官方途徑或自動升級中下載安裝，且有正常簽名，可能造成大面積傳播。軟件制作方已對此發(fā)布安全公告，并發(fā)布新版本解決此問題。 Xshell后門查殺工具可以用于檢測和查殺Xshell后門，并指引用戶更新無后門的版本。

Xshell后門查殺工具使用方法：

1、下載Xshell后門查殺工具到電腦。

2、使用解壓工具解壓，運行文件夾下的“Xshell后門查殺工具”文件。

3、點擊下方的“一鍵檢測Xshell后門”按鈕，等待檢測結(jié)果。

4、如果工具發(fā)現(xiàn)了Xshell工具后門，請按照工具的提示進行后續(xù)的操作。
 

Xshell后門事件介紹以及解決方案

Xshell是一款十分強大的免費終端模擬軟件，它支持SSH、SFTP、TELNET、RLOGIN和SERIAL等功能，被廣泛地用于服務(wù)器運維和管理。服務(wù)器可用作提供網(wǎng)頁服務(wù)、郵件服務(wù)、文件共享服務(wù)、打印共享服務(wù)、數(shù)據(jù)庫服務(wù)等，應(yīng)用范圍非常廣闊，是網(wǎng)絡(luò)服務(wù)最重要的部分之一。

Xshell開發(fā)公司NetSarang近日發(fā)布公告稱，2017年8月4日與卡巴斯基工程師發(fā)現(xiàn)Xshell軟件中存在后門。在軟件的開發(fā)階段，程序員常常會在軟件內(nèi)創(chuàng)建后門程序，以便可以修改程序設(shè)計中的缺陷。但是，如果這些后門被其他人知道，或者在發(fā)布軟件之前沒有被刪除后門程序，容易被不法分子當成漏洞進行攻擊，用戶們的服務(wù)器會面臨嚴重的威脅。此次黑客似乎入侵了Xshell相關(guān)開發(fā)人員的電腦，在源碼植入后門，導(dǎo)致官方版本也受到影響。并且由于dll文件已有官方簽名，眾多殺毒軟件依據(jù)白名單機制沒有報毒。根據(jù)本次威脅的嚴重程度和影響訪問，在應(yīng)急響應(yīng)事件上可定級為II級(即重大網(wǎng)絡(luò)與信息安全事件)。

從事計算機安全領(lǐng)域的研究人員指出，Xshell中用于網(wǎng)絡(luò)通信的動態(tài)鏈接庫是nssock2.dll，就是它被發(fā)現(xiàn)存在有后門類型的代碼，dll本身有廠商合法的數(shù)據(jù)簽名，這樣眾多依據(jù)白名單機制的殺毒軟件并沒有報毒，因此，面對Xshell的后門，應(yīng)急響應(yīng)的關(guān)鍵再于優(yōu)先阻止隱私數(shù)據(jù)的進一步泄露，再處理掉本地后門。

本次受影響的版本：

u Xmanager Enterprise 5.0 Build 1232

u Xmanager 5.0 Build 1045

u Xshell 5.0 Build 1322

u Xftp 5.0 Build 1218

u Xlpd 5.0 Build 1220

在Xshell 5 Build 1326以后的最新版本中，官方已經(jīng)修復(fù)了這個問題。如果還在使用了受影響版本，建議可使用以下方法應(yīng)急響應(yīng)：

1、查詢DNS訪問日志(ipconfig/displaydns)，確認主機是否已通過后門發(fā)送敏感信息;

2、使用上網(wǎng)行為管理設(shè)備屏蔽與此域名通訊，隔絕后續(xù)信息的再傳遞;

3、卸載相關(guān)受影響版本Xshell，升級至最新官方版本;

4、修改服務(wù)器賬號密碼，避免已泄露數(shù)據(jù)帶來二次破壞。