2017-08-14 21:59:11 9Sblog

後門？

你可能從freebuf 360安全播報啟明星辰和各個安全站點看到了事情的詳細信息，所以我就沒必要說了

重大事件

知名終端模擬軟件XSHELL多版本存在後門，或上傳用戶服務器賬號密碼！（15：10分更新）

http://bobao.360.cn/news/detail/4263.html

存在後門版本（已驗證）

Xshell Build 5.0.1322Xshell Build 5.0.1325Xmanager Enterprise 5.0 Build 1232Xmanager 5.0 Build 1045Xftp 5.0 Build 1218Xftp 5.0 Build 1221Xlpd 5.0 Build 1220

很嚴重嗎？

如果只是這一次後門事件，那並不會很嚴重，所以我要說的是

之前的事情

傳統意義上，我們的入侵者是通過收集信息-發現漏洞-入侵的套路來進行

但這並不總是很好用，隨著安全意識的提高，安全軟件的發展，網絡帶寬的提高（系統和軟件更新更加及時），計算機正在變得越來越安全

嗎？

如果我告訴你，入侵一臺windows系統只需要輸入個IP即可

你肯定會罵我是個瘋子

而這個漏洞正是ETERNALBLUE（永恆之藍），這毫無疑問是近幾年來最嚴重的漏洞

上一個大範圍影響的漏洞是ms12-20，他也不過只是讓windows藍屏而已

而永恆之藍卻是一個真真正正的getshell漏洞

當然他也名副其實，隨後WannaCry勒索病毒和永恆之藍強強聯手吊打全球

而更恐怖的是，這個漏洞的利用工具是黑客從NSA手裡偷來的

那麼在工具曝光之前已經存在多長時間了？我們更新的軟件，修補的漏洞，各種安全方案，以及追尋的所謂安全有什麼意義？

這也證明了，隨著安全意識的提高，安全軟件的發展，網絡帶寬的提高（系統和軟件更新更加及時），並沒有什麼卵用

APT攻擊

如果說上面依然是傳統的攻擊手段，那麼，我們就要說最噁心的了

社會工程學告訴我們“一個系統最大的弱點，既不是軟件也不是硬件，而是人”“即使一個系統的加密再強大，也敵不過管理員用姓名做的密碼”，而現在的情況是，就算你的密碼很複雜，可能你的登陸軟件還有後門等著你

如果你想詳細瞭解apt攻擊我推薦你閱讀高級長期威脅- 維基百科

https://zh.wikipedia.org/zh-hans/%E9%AB%98%E7%BA%A7%E9%95%BF%E6%9C%9F%E5%A8%81%E8%83%81

2003年11月5日，Larry McVoy發現，CVS中的代碼拷貝有一處改動並沒有包含記錄審核的鏈接。調查顯示，這一處改動由陌生人添加，而且從未經過審核，不僅如此，在BitKeeper倉庫的主拷貝中，這一處改動竟然壓根就不存在。經過進一步調查後，可以明確，顯然有人入侵了CVS的服務器並植入了此處改動。

2012年1月25日，中文版putty被爆出後門程序，使用帶有後門程序的中文版putty等SSH管理軟件連接服務器時，程序會自動記錄登錄時的用戶名、密碼和服務器IP地址等信息，並會以HTTP的方式將這些信息發送到指定的服務器上

2012年8月，360安全衛士發佈一款名為KB360018的“高危漏洞補丁”，大量用戶在安裝後發現，KB360018並非微軟發佈，而是由360假冒炮製，該“補丁”實為360安全瀏覽器強制升級安裝包。

2015年7月，太極助手iOS8.4越獄重大後門安全漏洞事件，後續曝光太極曾動用100萬美金“收買”國外越獄黑客捆綁太極助手(現在更名為3K助手)

2015年9月，蘋果Xcode後門事件，國內迅雷，百度雲等下載通道都被帶後門的版本感染替換，我們不禁懷疑，難道我們的程序員連軟件從官網下載都不知道嗎？

2015年11月百度Moplus SDK內置後門事件，它被植入到14000款app當中，這些app有接近4000個都是由百度出品的。

一些路由器廠家，例如dlink 騰達磊科思科，一些pc廠家，比如聯想，一些手機廠家，比如中興酷派，一些免費的網站程序主題，一些黑客常用的工具免殺webshell 以及免費的外掛

都非常人性化的內置了後門

這時我們才發現，好像我們使用的所有工具都出了問題