通过Xshell后门事件，你该如何处置那些被曝光的漏洞?

NetSarang公司近日发布安全公告，称其最近更新(7月18日)的Xmanager Enterprise、Xmanager、Xshell、Xftp、Xlpd五款软件存在安全漏洞，据悉其后门原因是以上产品中发布的nssock2.dll模块被植入恶意代码。

公告发布后，360CERT网络安全响应中心积极分析和披露该漏洞相关细节。使用存在漏洞的版本的计算机终端，会向域名为*.nylalobghyhirgh.com(DGA域名，每月不同)的服务器发起连接请求，并将收集的信息上传到上述服务器，官方确认这些信息里含有包括密码在内的服务器信息。与此同时，绿盟，安恒、微步在线等国内安全厂商也在第一时间发布信息提醒用户针对该漏洞进行及时处置。

▲NetSarange公司官方论坛确认“如果该漏洞被利用，服务器信息(包括密码)会被窃取”

问题来了，究竟要不要修改服务器密码?内网服务器这么多，修改所有的密码工作量巨大。但如果不修改，一旦漏洞被利用，所有服务器就相当于“裸奔”，怎么办?我是否受到这个漏洞的威胁?

近两日，科来安全分析师主动联系了已部署全流量安全分析系统(TSA)的政府、军工、能源等大量关键信息基础设施用户，提供排查服务。通过DNS特征回查功能，从受影响的版本发布事件开始(7月18日零时)至今，回查*.nylalobghyhirgh.com(8月份使用)和*.ribotqtonut.com(7月份使用)这两个域名的访问情况，均未发现成功的访问请求，与官方结果一致。科来通过此次主动服务，用全流量安全分析的真实数据告知这些用户，无须修改服务器密码。

为指导用户正确处置系统漏洞，全流量安全分析发挥了巨大作用。今年3月7日，Apache Struts2曝出了本年度第一个高危漏洞——CVE编号CVE-2017-5638。其原因是由于 Apache Struts2 的 Jakarta Multipart parser 插件存在远程代码执行漏洞，攻击者可以在使用该插件上传文件时，修改 HTTP 请求头中的 Content-Type 值来触发该漏洞，导致远程执行代码。

漏洞信息曝光后，部署科来全流量安全分析(TSA)的用户，从3月7日漏洞曝光起回查历史全流量数据，查找是否存在带有Content-Type的漏洞利用特征值的请求数据流，以及是否存储成功的服务器回包数据流。通过行为建模特征回查一条配置，迅速发现不少已经更新过系统版本的服务器，仍被黑客利用Struts2漏洞成功入侵。

Apache Struts2作为“世界级”JAVA Web开源服务器框架，一个高危漏洞的影响巨大，需要及时处置，包括第一时间更新系统版本，升级防火墙，IPS等防护设备的防护规则等。“道高一尺魔高一丈”，黑客深知，从漏洞曝光到用户更新版本存在一定时间差，必须充分利用这有限的时间窗口进行大范围攻击，获取最大收益。Apache Struts2的漏洞处置案例告诉我们，仅仅修补漏洞是不够的，在修补漏洞之前，系统可能已经被植入恶意代码，而且一般防御类设备和日志审计类设备所留存的是网络日志，数据不全也不足以分析和发现问题，比如无法实现基于攻击特征的回查分析，必须有手段回溯主机的网络流量数据。

《中华人民共和国网络安全法》第二十五条规定，网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。

关注漏洞信息并及时处置，已经成了法律规定的网络运营者需要履行的义务。但我们不能盲目的处置，要做到有据可依!系统是否已经中招?要如何处置才可以安心? 最终需要的还是证据! 证据! 证据! 全流量安全分析，用事实说话!

-END-