SHELLPUB BLOG

专注webshell查杀

漏洞预警-WebLogic反序列化远程代码执行

预警 今日凌晨(北京时间2018-04-18)Oracle官方发布CPU(Critical Patch Update关键更新补丁)通告, 本次更新修复了一个未授权远程代码执行的反序列化漏洞CVE-2018-2628。河马安全研究员已就此漏洞进行了验证,已经成功复现此漏洞。本漏洞危害较大可被利用来挖矿,对用户造成严重损失,建议用户第一时间更新。 关于WebLogic WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。 影响范围 Weblogic 10.3.6.0 Weblogic 12.1.3.0 Weblogic 12.2.1.2 Weblogic 12.2.1.3 修复建议 目前Oracle官方已经发布补丁,请移步 http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html 安装对应的补丁 如果在生产环境中,也可以临时禁用Weblogic T3协议, 据称此种方法存在被绕过风险,建议及时验证兼容性,并安装最新官方补丁 在安装补丁后建议使用河马WEBSHELL查杀客户端进行WEBSHELL检测和清理。 关于河马 专注WEB安全研究与产品开发,有多年WEBSHELL清理检测经验 参考 oracle官方通告 http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html 绿盟威胁情报 http://blog.nsfocus.net/category/threatalerts/ 白帽汇 漏洞预警

漏洞预警-ubuntu系统存本地提权漏洞

漏洞预警–ubuntu 系统存在本地提权漏洞 近日相关安全社群了解到内核版本 4.4.0-116的Ubuntu系统最新的本地提权漏洞。目前相关利用代码已经开始流传扩散,请广大站长,运维人员尽早做出应对措施,并跟进Ubuntu官方公告以便及时更新官方修复补丁。 1. 存在漏洞的版本 经过河马卫士的安全人员进行测试确认,目前16.04的版本存在漏洞。另目前AWS,阿里云,腾讯云的Ubuntu系统的云主机受该漏洞影响,其他的国内外公有云厂商均可能受此影响。 内核版本为4.4.0-116的ubuntu系统存在此漏洞 对应的ubuntu发型版本号为16.04 2. 修复建议 目前暂未有明确的补丁升级方案。 建议用户在评估风险后,通过修改内核参数限制普通用户使用bpf(2)系统调用: # echo 1 > /proc/sys/kernel/unprivileged_bpf_disable 此临时修复方案来自360 参考资料 360 CEDRT ubuntu本地提权攻击预警

漏洞预警-MS17010 Wanncry再次来袭

漏洞预警-MS17010最新利用工具公布,Wanncry再次来袭 影响Windows2000至2016所有版本 2018年01月29日,著名漏洞利用框架Metasploit添加了最新的针对MS17010(永恒之蓝)漏洞的最新利用模块。该利用模块可以攻击包括windows2000至2016的所有未打该补丁的Windows操作系统。shellpub.com 提醒广大站长更新系统补丁,做好防范工作,以免受到该漏洞的影响。 MS17010(永恒之蓝)是从网络中泄露的NSA攻击工具包中针对SMB协议的远程代码执行漏洞。该漏洞在2017年被公布,微软公司在4月份发布补丁,但是未引起广泛关注。导致后面的wanncry利用该漏洞大肆传播,影响全球计算机系统。造成了巨大的影响。而最新公布的利用代码同样影响Windows 2016的系统。 利用工具利用成功截图 漏洞影响 - Affect 该漏洞影响一下版本的Windows 操作系统: Windows Server 2000 SP0 x86 Windows 2000 Professional SP4 x86 Windows 2000 Advanced Server SP4 x86 Windows XP SP0 x86 Windows XP SP1 x86 Windows XP SP2 x86 Windows XP SP3 x86 Windows XP SP2 x64 Windows Server 2003 x86 Windows Server 2003 Enterprise SP 2 x86 Windows Server 2003 x64 Windows Vista Home Premium x86 Windows Server 2008 x64 Windows 7 x86 Windows 7 x64 Windows Server 2008 R2 x64 Windows 8 x86 Windows 8 x64 Windows 8.

河马WEBSHELL扫描器1.4.0发布

河马查杀1.4.0 发布 随着weblogic漏洞(CVE-2017-3506)的爆发,近期挖矿程序猖獗; 本次更新主要增加了几个挖矿程序的检测规则。 增加: 黑链、暗链的检测规则 恶意挖矿脚本检测规则 恶意挖矿程序检测规则 下载地址 windows版下载 linux64位下载 linux32位下载 功能更新 升级查杀引擎,提高查杀速度 BUG修正 修正版界面上扫描时间总是被累计,不会重置的BUG 已知问题 windows环境下,由于权限问题,有小概率导致扫描崩溃(测试环境无法复现),如果您遇到这个问题,请联系我们。 常见问题 扫描失败,或者扫描文件数目为0 软件限制了一些目录,例如Linux系统下/proc/目录文件不做检测,windows下C:/windows目录等 扫描时崩溃 请检查您使用的软件版本和操作系统版本是否匹配 情检查您当前的用户是否为管理员用户 linux下没有找到可执行的文件 请检查是否配置了环境变量或者使用./hm的方式来运行程序 如何配置扩展名白名单 在软件目录下有hm.yml文件,按照默认格式添加不需要被扫描的文件类型的扩展名 jpg,png,gif不建议添加,有一类后门是隐藏在图片之中的。 如何查看扫描结果 扫描结果在扫描结束之后会保存到软件目录下的result.csv文件中,windows版可以在界面上直接查看结果 如何实现定时扫描 linux利用系统crontab,在crontab中添加定时扫描任务。 如果安装了旧版软件是否能够自动更新 linux环境下您可以在软件所在目录执行`hm update`命令,软件会自动升级到最新版本 如果在使用过程中遇到问题,可以在本文下面留言或加QQ:1494922137

河马WEBSHELL扫描器1.3.2发布

河马查杀1.3.2 发布 近期不少用户反馈扫描时异常崩溃,我们调试后发现在获取版本失败导致的此问题,这个版本主要是修复这个BUG。 今日冬至,大家大吉大利,晚上吃鸡和饺子! 下载地址 windows版下载 linux64位下载 linux32位下载 功能更新 增加反馈页面 BUG修正 修正版本号获取失败时界面崩溃的BUG 优化 之前版本CGO DNS请求需要配置环境变量,这个版本直接集成到软件之中了 UI首页增加官方QQ,方便客户即时沟通 常见问题 扫描失败,或者扫描文件数目为0 软件限制了一些目录,例如Linux系统下/proc/目录文件不做检测,windows下C:/windows目录等 扫描时崩溃 请检查您使用的软件版本和操作系统版本是否匹配 最常见导致崩溃的就是系统cgo兼容新问题,解决办法参考#已知问题 没有找到可执行的文件 请检查是否配置了环境变量或者使用./hm的方式来运行程序 如何配置扩展名白名单 在软件目录下有hm.yml文件,按照默认格式添加不需要被扫描的文件类型的扩展名 jpg,png,gif不建议添加,有一类后门是隐藏在图片之中的。 如何查看扫描结果 扫描结果在扫描结束之后会保存到软件目录下的result.csv文件中,windows版可以在界面上直接查看结果 如何实现定时扫描 linux利用系统crontab,在crontab中添加定时扫描任务。 如果安装了旧版软件是否能够自动更新 linux环境下您可以在软件所在目录执行`hm update`命令,软件会自动升级到最新版本 如果在使用过程中遇到问题,可以在本文下面留言或加QQ:1494922137

河马WEBSHELL扫描器1.3.1发布

下载地址 windows版下载 linux64位下载 linux32位下载 功能更新 增加一条绕过规则 增加了门罗币挖矿脚本检测 支持离线模式下深度查杀 BUG修正 修正某些特殊文件路径无法检测的BUG 修正了一个中英文翻译显示不正确的BUG 优化 优化了文件包含类后门检测 优化白名单,允许扫描linux /mnt目录,windows桌面目录 已知问题 在部分linux系统(ubuntu等)DNS由于cgo自身问题(参考链接https://yq.aliyun.com/articles/238940)导致发请求时崩溃, 解决办法 在环境变量中加入 export GODEBUG=netdns=go 常见问题 扫描失败,或者扫描文件书目为0 软件限制了一些目录,例如Linux系统下/proc/目录文件不做检测,windows下C:/windows目录等 扫描时崩溃 请检查您使用的软件版本和操作系统版本是否匹配 最常见导致崩溃的就是系统cgo兼容新问题,解决办法参考#已知问题 没有找到可执行的文件 请检查是否配置了环境变量或者使用./hm的方式来运行程序 如何配置扩展名白名单 在软件目录下有hm.yml文件,按照默认格式添加不需要被扫描的文件类型的扩展名 jpg,png,gif不建议添加,有一类后门是隐藏在图片之中的。 如何查看扫描结果 扫描结果在扫描结束之后会保存到软件目录下的result.csv文件中,windows版可以在界面上直接查看结果 如何实现定时扫描 linux利用系统crontab,在crontab中添加定时扫描任务。 如果安装了旧版软件是否能够自动更新 linux环境下您可以在软件所在目录执行`hm update`命令,软件会自动升级到最新版本 如果在使用过程中遇到问题,可以在本文下面留言或添加QQ:1494922137

河马下载地址修复公告

河马WEBSHELL扫描软件下载修复公告 河马WEBSHELL扫描器软件下载原来是托管在GITHUB上的; 因19大召开,部分用户出现无法正常下载或者下载缓慢的现象。现已将国内的用户下载从GITHUB修改到独立的线路上了,给您带来的不便,敬请原谅。 WINDOWS版下载 Linux 64位版下载 Linux 32位版下载

河马-利用机器学习检测WEBSHELL

河马-利用机器学习检测WEBSHELL 1. START 近些年机器学习火的一塌糊涂,机器学习、人工智能、深度学习、数据挖掘这些词汇耳熟能详。这些术语的背后是数学、统计学、计算机科学等多门学科的融合。利用这些技术使计算机具有归纳总结等学习能力来服务人类。 2. DO 借着这个国庆+中秋双节8天假日,做了一个简单的demo,算是河马安全在机器学习上第一次尝试。 查杀传送门 http://ml.shellpub.com 界面效果 区分一个文件是否是WEBSHELL是一个典型的分类过程,属于监督学习 有多种分类算法可选,尝试了K邻近、贝叶斯、决策树、逻辑回归几种方法。在我的实验条件下,使用决策树算法效果比较好。试验中使用4000个黑样本,2000个白样本(来自开源CMS)最终结果如下: 准确率:0.97 召回率:0.9687 监督学习训练结果受训练样本集、分类特征值、数学模型等多种因素影响。 机器学习查杀引擎目前处于试验阶段,结果仅供参考,建议移步正式版或者下载客户端 3. NEXT TODO 目前白样本的误报还有点高,收集更多的白样本加入到训练集中 改进feature,使之有更好的效果 ## 各位请轻拍砖 如有任何建议意见请留言或者直接联系我们,请继续关注 QQ:1494922137 service@shellpub.com

XSHELL多版本存在后门

安全通告–终端软件XSHELL多版本存在后门 据360安全客与360CERT消息,知名linux终端软件XSHELL存在后门,而且是官方版本。包括XSHELL软件单体和其安装套件Xmanager. XSHELL是一个强大的安全终端模拟软件,它支持SSH1, SSH2, 以及Microsoft Windows 平台的TELNET 协议。详细介绍请看这里 存在后门的版本 Xshell Build 5.0.1322 Xshell Build 5.0.1325 Xmanager Enterprise 5.0 Build 1232 Xmanager 5.0 Build 1045 Xftp 5.0 Build 1218 Xftp 5.0 Build 1221 Xlpd 5.0 Build 1220 修复建议 建议用户使用以下步骤进行修复 升级XSHELL及其套件到最新版本 修改linux服务器系统密码;在可能的情况下使用key+passphrase, 如果您不熟悉这个操作,请查看教程 参考 消息原文: http://bobao.360.cn/news/detail/4263.html linux 禁止帐号密码验证 使用key验证方式登录SSH: http://blog.csdn.net/zhi_heart/article/details/48656467

河马WEBSHELL扫描器1.2发布

河马WEBSHELL扫描器1.2 更新日志 开发了windows版的图形界面 查杀引擎升级到1.2 支持自定义过扩展名白名单 升级查杀规则,增强了查杀效果,降低误报 使用新云查杀接口,速度更快 windows使用教程 下载安装 访问官网 或者点此直接下载 解压缩zip文件 双击安装程序进行安装 扫描 点击立即扫描选择要扫描的目录 支持选择多个目录 单击开始扫描按钮 处理结果 扫描完成后处理WEBSHELL FAQ: 如果发现扫描失败的提醒请联系我们的技术人员 联系我们 如果您在使用中遇到什么问题或者有什么建议欢迎联系我们 QQ: 1494922137 EMAIL: service@shellpub.com