V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
ivmm
V2EX  ›  问与答

NetSarang 的 Xmanager 和 Xshell 多种产品被植入后门,头疼啊啊啊啊

  •  2
     
  •   ivmm · 2017-08-14 13:01:29 +08:00 · 4969 次点击
    这是一个创建于 2660 天前的主题,其中的信息可能已经有所发展或是发生改变。

    https://bbs.aliyun.com/read/324232.html

    我的 Key 会不会也自动上传了?

    44 条回复    2017-08-14 22:58:39 +08:00
    ovear
        1
    ovear  
       2017-08-14 13:03:58 +08:00
    http://bobao.360.cn/news/detail/4263.html

    不知道什么情况

    我还停留在 Xshell5(0719)
    ivmm
        2
    ivmm  
    OP
       2017-08-14 13:07:56 +08:00
    @ovear Build 版本呢?
    ovear
        3
    ovear  
       2017-08-14 13:09:26 +08:00
    @ivmm 0719 呀
    ivmm
        4
    ivmm  
    OP
       2017-08-14 13:10:47 +08:00
    @ovear Xshell 5 Build 1326,1326 才是 build 版本,按你这个应该是 0804
    ovear
        5
    ovear  
       2017-08-14 13:14:50 +08:00
    @ivmm 上面写的就是 Build 0719
    tabris17
        6
    tabris17  
       2017-08-14 13:17:41 +08:00
    官网上下的也不行?
    ivmm
        7
    ivmm  
    OP
       2017-08-14 13:18:46 +08:00
    @ovear 那你是不是很久很久没更新了,版本号竟然那么旧
    ivmm
        8
    ivmm  
    OP
       2017-08-14 13:19:16 +08:00
    @tabris17 就是官网的有后门,😄,可以看一下更新日志,修复了一个远程漏洞(微笑)
    wisej
        9
    wisej  
       2017-08-14 13:21:00 +08:00 via Android
    它这个后门是官网版本就有的吧?而且前几天有看到个帖子说 这个公司 品行不太好
    wisej
        10
    wisej  
       2017-08-14 13:22:53 +08:00 via Android
    我刚看我是 1322,不管怎样还是先升 1326 吧(说不定也还有后门呢๑乛◡乛๑)
    webjin1
        11
    webjin1  
       2017-08-14 13:24:29 +08:00
    @wisej 他的中国代理公司 苏州思杰马克丁 也是家不是什么好鸟公司。
    DoraJDJ
        12
    DoraJDJ  
       2017-08-14 13:24:53 +08:00
    终于有个合理的理由去换个新的 SSH Key 了 :) 有一年左右没换过了
    BOYPT
        13
    BOYPT  
       2017-08-14 13:27:39 +08:00
    360 这算带节奏? 官方哪里说这是远程漏洞
    yksoft1
        14
    yksoft1  
       2017-08-14 13:29:05 +08:00
    难道是北棒子的乌纱帽黑客入侵他们公司的服务器,改源码干的,这软件不是开源的吧
    7654
        15
    7654  
       2017-08-14 13:31:18 +08:00
    1222 不知道有没有问题
    ovear
        16
    ovear  
       2017-08-14 13:32:37 +08:00
    @ivmm 万年没更新
    ovear
        17
    ovear  
       2017-08-14 13:33:19 +08:00
    @BOYPT https://www.netsarang.com/products/xsh_update.html
    FIX: Patched an exploit related to nssock2.dll
    BOYPT
        18
    BOYPT  
       2017-08-14 13:36:29 +08:00
    @ovear #17。。。我眯着眼睛找他们截图里面的文字全读了一遍,完全没提到,眼都花了
    hotsnow
        19
    hotsnow  
       2017-08-14 13:36:35 +08:00
    @ovear 刚看一下 发现我一直用的是 2015 年的 0655 版本 :p
    ryannnnn
        20
    ryannnnn  
       2017-08-14 13:38:45 +08:00
    安全预警:Xshell 5 官方版本被植入后门,更新即中招(国内已有用户受影响)
    http://www.4hou.com/info/news/7244.html
    bravecarrot
        21
    bravecarrot  
       2017-08-14 13:39:54 +08:00 via iPhone
    防不胜防 😫
    ivmm
        22
    ivmm  
    OP
       2017-08-14 13:40:52 +08:00
    @wisej 公司品行应该是好的吧,毕竟出了免费版都不验证你是否是学生、教育机构。 国内代理商不行
    ex44559
        23
    ex44559  
       2017-08-14 13:45:34 +08:00
    感觉漏洞只是诱饵,那个后门才是目的
    miyuki
        24
    miyuki  
       2017-08-14 13:46:34 +08:00   ❤️ 1
    @wisej

    本体公司还好,国内"代理"思杰马克丁业界毒瘤,修改程序,去掉免费,把购买导向到自家网站(更贵)。

    https://www.zhihu.com/question/46746200
    privil
        25
    privil  
       2017-08-14 13:59:30 +08:00
    噗,我居然因为偷懒没更新软件躲过一劫……用的还是 15 年的 build
    crisfun
        26
    crisfun  
       2017-08-14 14:04:19 +08:00 via iPhone
    很久没更新就前两天更新了,估计刚好错过这次明显后门
    mmmyc
        27
    mmmyc  
       2017-08-14 14:11:44 +08:00 via Android
    半个月前更新了。不知道会不会中招
    alex321
        28
    alex321  
       2017-08-14 14:15:04 +08:00
    检查了下 4 的版本更新于 2017.5.08 ,文件 MD5 和 SHA1 签名与官方一致。

    Xshell 4 Build 0144
    Xshell4.exe, Mar 08 2017, 28.51 MB
    MD5: 028ed81655d6fe31ae1fb683f9a4dd73
    SHA1: 9b9c3838010b8fd6b25d6776472f37f46190b48e
    pisser
        29
    pisser  
       2017-08-14 14:15:41 +08:00
    这些软件不是开源的都是傻。。
    ragnaroks
        30
    ragnaroks  
       2017-08-14 14:59:02 +08:00
    只有我觉得 bvssh 比 xshell 好用吗...
    UnitTest
        31
    UnitTest  
       2017-08-14 15:11:27 +08:00
    之前都给同事推荐使用 xshell,还鄙视了半天他们用盗版 secureCRT 的。。。
    还好最近一年我都推荐懒人直接用 win10 的 wsl+filezilla,对于一般的开发简单操作一下服务器还是够用的。
    shingoxray
        32
    shingoxray  
       2017-08-14 15:35:45 +08:00
    我 ri,跑了 100 多 KB 的 DNS 流量出去啊,咋办??
    zmj1316
        33
    zmj1316  
       2017-08-14 16:42:07 +08:00
    吓得我赶紧把密钥换了...
    monsoon
        34
    monsoon  
       2017-08-14 17:10:02 +08:00
    在群里看到这个新闻,我是个Linux用户,不过平时在windows下凑巧用下xshell。
    我觉得国内的很多新闻源都在传播这是一个官方后门的FUD,因为从现在知道的消息来看,这更像是一个被人植入的后门。

    官方的更新记录里,8月5日那个版本修复了一个安全漏洞:
    https://www.netsarang.com/products/xsh_update.html
    然后官方在8月 7 日发表了 Security Exploit 的声明,并说明了卡巴斯基实验室和他们合作发现了他们应用7月1 8 后的版本有一个 Security Exploit。并声明了所有受影响的版本,一共5个,xshell 有一个版本。360 报告里还说明了 Xshell Build 5.0.1325,但是官方记录里面并没有这个版本,我不知道这个版本哪里来的,google了下,也只有国内的网站有贴过这个版本,所以我不清楚这个版本到底是个什么鬼还是官方提供的非公开的测试版本。
    也就是说xshell这公司只发布了一个版本有漏洞的xshell,而且这个版本也出来多久,并且也在国内发表说明前说了这件事情。如果看出这是xshell的后门?
    当然我相信这有可能是,但是我觉得现在的证据是更说明这是被人做的证据更明显点。而且一个做了那么多年的软件,不太可能一个版本突然这样子,如果我是恶意的软件开发商的话,肯定会更隐蔽些,流量也更小些。而不会想 360 那里说的一天访问量 800 w,这只有怎么搞恶意软件的人才会作出那么蹩脚的高访问量的。

    另外国外的杀毒软件在xshell发布声明后的那几天就会提示这个dll有可能有安全隐患( https://www.netsarang.com/forum/xshell/4415/nssock2.dll_symantec_antivirus )。

    唯一我现在有疑问的是,xshell和卡巴斯基说在 8 月5号发表版本前并没有用户收到这个问题的影响,而 360 那流量图表明8月初就有流量了,我不是很清楚 360 这流量统计是怎么来的,而且这里的前几天的流量是不是xshell导致的,或者说那个后门的先在国内开始后门先。或者说xshell说慌了。不过就算再怎么样,这个后门最多也只持续了(看3 60 那个流量图的出来的)5天(如果你正常更新的话),我认为别人利用的可能性比一款很有名的软件会破天荒再很短的时间内收集大量的隐私,然后再发布公告表明修了这个的可能性更大。当然谁也可以致电xshell让他们给个具体的答复也是可以的。

    虽然我每天上班都用linux,比起闭源软件来说更喜欢开源软件,但是这并不是随便传播一款软件fud的理由,或者说我觉得现在的绝大部分人太容易多莫须有的事情先进行非常恶意的猜测。
    kmahyyg
        35
    kmahyyg  
       2017-08-14 20:18:26 +08:00
    看到 1326 安全,我就放心,我才 1055
    fox0001
        36
    fox0001  
       2017-08-14 21:12:12 +08:00
    一直用 putty …
    weyou
        37
    weyou  
       2017-08-14 21:20:18 +08:00 via Android
    @fox0001 putty +1 从 securecrt 转 putty 多年了,也没感觉哪里不方便啊
    izoabr
        38
    izoabr  
       2017-08-14 21:26:58 +08:00
    FinalShell 突破的好时机
    just1
        39
    just1  
       2017-08-14 21:30:12 +08:00 via Android
    @ryannnnn 完全的标题党
    ivmm
        40
    ivmm  
    OP
       2017-08-14 21:38:51 +08:00
    @weyou SSH 快速链接 SFTP 或者 SCP 有方法么
    ysc3839
        41
    ysc3839  
       2017-08-14 21:52:57 +08:00 via Android
    @BOYPT 去其他地方找找,有反编译的,说是执行恶意代码。
    weyou
        42
    weyou  
       2017-08-14 21:55:15 +08:00 via Android
    @ivmm scp/sftp 我一般用 winscp,反正需要用的 session 都存在列表里,也没有麻烦多少啊
    kn007
        43
    kn007  
       2017-08-14 22:50:18 +08:00
    @ragnaroks 你不是一个人,多年使用 bvssh 的路过!
    Jakesoft
        44
    Jakesoft  
       2017-08-14 22:58:39 +08:00 via iPhone
    @izoabr 那你怎么保证 finalshell 没有后门?尤其是这种名不见经传的软件
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1239 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 18:14 · PVG 02:14 · LAX 10:14 · JFK 13:14
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.