V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
alwayshere
V2EX  ›  程序员

xshell 多版本存在漏洞,不知道我的 build 1060 会不会有问题,真的怕了

  •  1
     
  •   alwayshere · 2017-08-14 14:38:03 +08:00 · 11643 次点击
    这是一个创建于 2691 天前的主题,其中的信息可能已经有所发展或是发生改变。

    http://bobao.360.cn/news/detail/4263.html 我的是官网下的,证书登录,要不要换证书???真麻烦,有没有可以媲美 xshell 的软件???

    69 条回复    2017-08-18 15:54:59 +08:00
    jalena
        1
    jalena  
       2017-08-14 14:51:21 +08:00
    然后呢??
    ArcticL
        2
    ArcticL  
       2017-08-14 15:04:10 +08:00
    查看 nssock2.dll 的版本,如果版本号为 5.0.0.26 则存在后门
    mortal
        3
    mortal  
       2017-08-14 15:05:07 +08:00
    密切关注。
    如果为真,不知道是单纯上传的 Password 方法呢,还是 Public Key 方式也遭殃?
    不管怎样先更新一波。
    mortal
        4
    mortal  
       2017-08-14 15:12:42 +08:00
    netsarang 官网打不开…好慌
    anyele
        5
    anyele  
       2017-08-14 15:16:01 +08:00
    官方后门啊
    ipchy
        6
    ipchy  
       2017-08-14 15:17:45 +08:00
    我已经收到软件提醒更新到最新版了
    sakura1357
        7
    sakura1357  
       2017-08-14 15:24:50 +08:00 via Android
    build 0544 老版本不知道有没有问题
    ipeony
        8
    ipeony  
       2017-08-14 15:46:14 +08:00
    好慌,中招版本,N 多服务器~
    liuxiaofengone
        9
    liuxiaofengone  
       2017-08-14 15:49:28 +08:00
    最新版本好像没了~
    slrey
        10
    slrey  
       2017-08-14 15:50:22 +08:00
    逃过一劫。用的还是 build 1199。nssock2.dll 是 5.0.0.26
    janxin
        11
    janxin  
       2017-08-14 15:52:34 +08:00
    是存在后门,想想最近有没有更新过把
    boboliu
        12
    boboliu  
       2017-08-14 15:54:10 +08:00 via Android
    感觉现在 xshell 之于我的存在意义越来越低了,很多功能也用不上,正好换回 putty
    zpf124
        13
    zpf124  
       2017-08-14 15:58:30 +08:00   ❤️ 1
    妈妈的大新闻啊, 我是不是该庆幸因为有 墙 所以我更新不了版本?
    lilydjwg
        14
    lilydjwg  
       2017-08-14 16:01:17 +08:00
    /me openssh 用户
    /me zsh 用户
    /me Python 用户
    /me 根本不知道 xshell 有什么优势
    fy
        15
    fy  
       2017-08-14 16:01:19 +08:00
    1199,Xshell.exe: 5.0.0047, nssock2.dll: 5.0.0025

    妈的好慌
    voocel
        16
    voocel  
       2017-08-14 16:06:25 +08:00 via Android
    0964 好方
    fzinfz
        17
    fzinfz  
       2017-08-14 16:11:18 +08:00
    墙裂推荐 MobaXterm: 支持 mosh,图形化远程文件管理,X11-forwarding (类似 xenapp/remoteapp )等神特性
    keysona
        18
    keysona  
       2017-08-14 16:59:20 +08:00
    中招了....
    KyonLi
        19
    KyonLi  
       2017-08-14 17:07:04 +08:00
    所有 public key 相关的都换了一遍,脑子快要炸了
    monsoon
        20
    monsoon  
       2017-08-14 17:13:15 +08:00   ❤️ 1
    重新复杂了遍我再另一个帖的回答(看到两边的人请原谅我):
    在群里看到这个新闻,我是个Linux用户,不过平时在windows下凑巧用下xshell。
    我觉得国内的很多新闻源都在传播这是一个官方后门的FUD,因为从现在知道的消息来看,这更像是一个被人植入的后门。

    官方的更新记录里,8月5日那个版本修复了一个安全漏洞:
    www.netsarang.com   products   xsh_update.html
    然后官方在8月 7 日发表了 Security Exploit 的声明,并说明了卡巴斯基实验室和他们合作发现了他们应用7月1 8 后的版本有一个 Security Exploit。并声明了所有受影响的版本,一共5个,xshell 有一个版本。360 报告里还说明了 Xshell Build 5.0.1325,但是官方记录里面并没有这个版本,我不知道这个版本哪里来的,google了下,也只有国内的网站有贴过这个版本,所以我不清楚这个版本到底是个什么鬼还是官方提供的非公开的测试版本。
    也就是说xshell这公司只发布了一个版本有漏洞的xshell,而且这个版本也出来多久,并且也在国内发表说明前说了这件事情。如果看出这是xshell的后门?
    当然我相信这有可能是,但是我觉得现在的证据是更说明这是被人做的证据更明显点。而且一个做了那么多年的软件,不太可能一个版本突然这样子,如果我是恶意的软件开发商的话,肯定会更隐蔽些,流量也更小些。而不会想 360 那里说的一天访问量 800 w,这只有怎么搞恶意软件的人才会作出那么蹩脚的高访问量的。

    另外国外的杀毒软件在xshell发布声明后的那几天就会提示这个dll有可能有安全隐患( www.netsarang.com   forum   xshell   4415   nssock2.dll_symantec_antivirus )。

    唯一我现在有疑问的是,xshell和卡巴斯基说在 8 月5号发表版本前并没有用户收到这个问题的影响,而 360 那流量图表明8月初就有流量了,我不是很清楚 360 这流量统计是怎么来的,而且这里的前几天的流量是不是xshell导致的,或者说那个后门的先在国内开始后门先。或者说xshell说慌了。不过就算再怎么样,这个后门最多也只持续了(看3 60 那个流量图的出来的)5天(如果你正常更新的话),我认为别人利用的可能性比一款很有名的软件会破天荒再很短的时间内收集大量的隐私,然后再发布公告表明修了这个的可能性更大。当然谁也可以致电xshell让他们给个具体的答复也是可以的。

    虽然我每天上班都用linux,比起闭源软件来说更喜欢开源软件,但是这并不是随便传播一款软件fud的理由,或者说我觉得现在的绝大部分人太容易多莫须有的事情先进行非常恶意的猜测。
    Tink
        21
    Tink  
       2017-08-14 17:22:29 +08:00
    我的妈呀,略恐怖
    privil
        22
    privil  
       2017-08-14 17:23:19 +08:00
    @slrey 5.0.0.26 就是中招版本啊
    jin7
        23
    jin7  
       2017-08-14 17:26:33 +08:00
    Xshell.exe: 5.0.0041, nssock2.dll: 5.0.0023
    jin7
        24
    jin7  
       2017-08-14 17:27:03 +08:00
    内心有阴影了
    jin7
        25
    jin7  
       2017-08-14 17:27:33 +08:00
    我这个应该没中招吧. nssock2.dll: 5.0.0023
    funky
        26
    funky  
       2017-08-14 17:28:57 +08:00
    Xshell(Build 1199) Xshell.exe: 5.0.0047, nssock2.dll: 5.0.0025,
    weics
        27
    weics  
       2017-08-14 17:36:37 +08:00
    Xshell(Build 1124)Xshell.exe: 5.0.0046, nssock2.dll: 5.0.0025, nsssh3.dll: 5.0.0038, 这个版本中招应该没有中招把
    dong3580
        28
    dong3580  
       2017-08-14 17:48:29 +08:00
    所以我要推荐 putty 了,
    syuraking
        29
    syuraking  
       2017-08-14 17:56:31 +08:00
    其实,上面提示的几个版本根本没有在更新推送中出现过
    我自己买的是正版授权,几乎天天开,有更新推送都是第一时间知道的。

    我觉得这其实有一些不可思议的情况吧
    redtea
        30
    redtea  
       2017-08-14 17:56:34 +08:00
    putty 中文汉化版几年前也被加入后门
    ghost444
        31
    ghost444  
       2017-08-14 18:10:02 +08:00
    想了想自己也用不上 Xshell 的一堆功能,趁机换 PuTTY 了
    popkara
        33
    popkara  
       2017-08-14 18:16:16 +08:00
    吓得我赶紧关闭了服务器...(手动斜眼)
    danbao
        34
    danbao  
       2017-08-14 18:16:19 +08:00
    WinSCP+putty
    Jonasen
        35
    Jonasen  
       2017-08-14 18:23:42 +08:00 via iPhone
    换吧。。我也中招了
    printese
        36
    printese  
       2017-08-14 18:24:52 +08:00   ❤️ 3
    不会又跟思杰马克丁有关吧
    cnkuner
        37
    cnkuner  
       2017-08-14 18:40:47 +08:00 via Android
    擦,这么多证书要更新,刚查了下日志,没发现可疑登陆。
    ghost444
        38
    ghost444  
       2017-08-14 19:01:11 +08:00
    @redtea 两个性质……这个 dll 带着官方数字签名的
    miyuki
        39
    miyuki  
       2017-08-14 19:03:44 +08:00 via Android
    不会又和马克丁有关吧
    ixinshang
        40
    ixinshang  
       2017-08-14 19:06:19 +08:00 via Android
    瑟瑟发抖
    yangff
        41
    yangff  
       2017-08-14 19:19:48 +08:00
    @monsoon 不管是不是有意植入,总之是官方的版本存在后门,是他们被人黑了,打一炮就跑,离职员工泄愤,还是什么原因倒并不重要。
    后门是 7 月 18 号的 release 就有了的,后门的域名是一个月变一次的,8 月的这个域名从 8 月 1 号就有访问,可以推断 7 月份可能就已经有了。或者直到 8 月才开通相应的域名。
    8 月 5 号的版本 patch 了这个后门,中间的版本都有问题。
    xshell 不是强制更新的,而是提醒你下载更新。
    dwlinux
        42
    dwlinux  
       2017-08-14 19:36:13 +08:00
    看到的时候被吓的半死,赶紧查了一下~
    Xshell.exe: 5.0.0037, nssock2.dll: 5.0.0022
    pifu
        43
    pifu  
       2017-08-14 20:02:12 +08:00 via Android
    Putty 用惯了,一直没换。
    Admstor
        44
    Admstor  
       2017-08-15 00:23:38 +08:00
    淡定
    升级到新版本就是
    重要的服务器重新改密码
    Ayakochan
        45
    Ayakochan  
       2017-08-15 00:51:53 +08:00
    Xshell.exe: 5.0.0048, nssock2.dll: 5.0.0027
    lfk0000
        46
    lfk0000  
       2017-08-15 07:16:05 +08:00
    Xshell.exe: 5.0.0012, nssock2.dll: 5.0.0007
    万年没更新,表示蛋定
    anyforever
        47
    anyforever  
       2017-08-15 08:44:41 +08:00
    你们的怎么还这么早。。我的版本都到 1326 了呢
    yu1u
        48
    yu1u  
       2017-08-15 09:02:46 +08:00
    不会又跟思杰马克丁有关吧
    NoAnyLove
        49
    NoAnyLove  
       2017-08-15 09:17:39 +08:00
    PuTTY+WinSCP+OpenSSH 用户路过,偶尔也用用 FileZilla
    araraloren
        50
    araraloren  
       2017-08-15 09:18:54 +08:00
    @miyuki 对阿,为何没人提 马克丁,看官方的公告,除了 1322 版本之外都不受影响。。
    我的软件要么及时更新,要么好久不更新。。我的还是 0964 呢
    当然相对与国内的某安全公司来讲,我还是倾向认可官方,看来以后下载软件都得去官方网站,为了图方便我也从百度的下载链接下载过 XSHELL。。。
    zyxk
        51
    zyxk  
       2017-08-15 09:56:54 +08:00
    @dong3580
    @danbao
    @pifu

    你们的 putty 在 win10 系统上正常吗,我发现用 win10,有时候打不开 putty ,需要多打开几次才可以.
    sofs
        52
    sofs  
       2017-08-15 10:11:33 +08:00
    这不叫漏洞,是后门
    x86
        53
    x86  
       2017-08-15 10:12:20 +08:00
    老版本没升级
    xAx
        54
    xAx  
       2017-08-15 10:35:42 +08:00
    我感觉这事件的重点不在 xshell(我用 mobaxterm),而是 360 好不要脸.明明就是卡巴先发现的.....
    simaguo
        55
    simaguo  
       2017-08-15 10:52:16 +08:00
    Xshell.exe: 5.0.0047, nssock2.dll: 5.0.0026
    ChiChou
        56
    ChiChou  
       2017-08-15 11:02:39 +08:00
    @araraloren 这次后门就是官方被植入了
    araraloren
        57
    araraloren  
       2017-08-15 11:17:47 +08:00
    @ChiChou 没有 我说的是 那个 360 发布的报告里面的 几个 不存在的版本
    反正这后门发现及时,对我没有影响。。。
    vipper
        58
    vipper  
       2017-08-15 11:17:52 +08:00
    感觉我是不是可以格盘了啊

    ![1.gif]( https://i.loli.net/2017/08/15/599267c40b012.gif)
    ray1980
        59
    ray1980  
       2017-08-15 11:38:48 +08:00
    @vipper 一般要怎么查有没有安全问题?
    likuku
        60
    likuku  
       2017-08-15 11:41:08 +08:00
    换 putty 官方版本就是了吧
    benjix
        61
    benjix  
       2017-08-15 11:43:46 +08:00 via iPhone
    是后门,不是漏洞啊!很难想象不是官方故意的。还是用 putty 吧
    vipper
        62
    vipper  
       2017-08-15 13:22:03 +08:00   ❤️ 1
    @ray1980 先查系统登陆日志,看看有没有异常 IP 登录啊
    再看看系统里面有没有异常的用户,查看账户的权限情况
    zrj766
        63
    zrj766  
       2017-08-15 13:25:48 +08:00 via Android
    最新版路过
    duangsuse
        64
    duangsuse  
       2017-08-15 14:41:07 +08:00
    @lilydjwg 表示不知道为什么用 XShell~我一直都是 ssh +sftp 客户端的
    skylancer
        65
    skylancer  
       2017-08-15 15:53:27 +08:00
    @monsoon 我自己没用 XShell,但据我所知,文件是带 xshell 的数字签名的,所以这事是官方后门已经坐实的了
    inmyfree
        66
    inmyfree  
       2017-08-15 16:19:36 +08:00
    Xshell.exe: 5.0.0024,
    nssock2.dll: 5.0.0017,
    KoleHank
        67
    KoleHank  
       2017-08-16 08:30:57 +08:00
    @lfk0000 老版本没问题么?还是说低于 5.0.0026 的都存在问题?
    ChiChou
        68
    ChiChou  
       2017-08-17 10:57:00 +08:00
    @ray1980 这次的后门有一个明显的特征,简单地用记事本打开 nssock2.dll ,然后查找里面有没有“ VirtualAlloc ”(不含引号),如果有则包含后门
    skyyan
        69
    skyyan  
       2017-08-18 15:54:59 +08:00
    Xshell.exe: 4.0.00119, nssock2.dll: 4.0.0018, nsssh3.dll: 4.0.0031, nsprofile2.dll: 4.0.0022, nslicense.dll: 4.0.0019, nsutil2.dll: 4.0.0040, nsverchk.exe: 4.0.0009, Xagent.exe: 4.0.0015, Xactivator.exe: 4.0.0016
    build 0131
    没问题吧
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5579 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 40ms · UTC 06:34 · PVG 14:34 · LAX 22:34 · JFK 01:34
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.