SHELLPUB BLOG

专注webshell查杀

XSHELL多版本存在后门

安全通告–终端软件XSHELL多版本存在后门 据360安全客与360CERT消息,知名linux终端软件XSHELL存在后门,而且是官方版本。包括XSHELL软件单体和其安装套件Xmanager. XSHELL是一个强大的安全终端模拟软件,它支持SSH1, SSH2, 以及Microsoft Windows 平台的TELNET 协议。详细介绍请看这里 存在后门的版本 Xshell Build 5.0.1322 Xshell Build 5.0.1325 Xmanager Enterprise 5.0 Build 1232 Xmanager 5.0 Build 1045 Xftp 5.0 Build 1218 Xftp 5.0 Build 1221 Xlpd 5.0 Build 1220 修复建议 建议用户使用以下步骤进行修复 升级XSHELL及其套件到最新版本 修改linux服务器系统密码;在可能的情况下使用key+passphrase, 如果您不熟悉这个操作,请查看教程 参考 消息原文: http://bobao.360.cn/news/detail/4263.html linux 禁止帐号密码验证 使用key验证方式登录SSH: http://blog.csdn.net/zhi_heart/article/details/48656467

河马WEBSHELL扫描器1.2发布

河马WEBSHELL扫描器1.2 更新日志 开发了windows版的图形界面 查杀引擎升级到1.2 支持自定义过扩展名白名单 升级查杀规则,增强了查杀效果,降低误报 使用新云查杀接口,速度更快 windows使用教程 下载安装 访问官网 或者点此直接下载 解压缩zip文件 双击安装程序进行安装 扫描 点击立即扫描选择要扫描的目录 支持选择多个目录 单击开始扫描按钮 处理结果 扫描完成后处理WEBSHELL FAQ: 如果发现扫描失败的提醒请联系我们的技术人员 联系我们 如果您在使用中遇到什么问题或者有什么建议欢迎联系我们 QQ: 1494922137 EMAIL: service@shellpub.com

asp 限制多IP登录

目的 限制同一账号多IP登录 原理 前端不断发送Ajax请求后端ASP,每隔几秒钟更新一次登陆请求。 后端记录登陆IP和最后登录时间。 如发现登录IP与最后登录IP不同,则登陆失败。 为了防止请求被缓存, 在请求中加随机数。 需要注意的是NAT环境下(网吧或者企业学校等公用出口), 使用这个代码会导致其他用户登陆失败 代码 ajax_update.js //author :x@shellpub.com //website:www.shellpub.com function makeRequest() { var guid = rnd(); //记住给个随机数,不然的话有缓存 var url = "updateLogin.asp"; createXMLHttpRequest(); xmlHttp.onreadystatechange = handleRefresh; xmlHttp.open("GET", url, false); xmlHttp.send(null); } //创建xmlHttp var xmlHttp; function createXMLHttpRequest() { if (window.ActiveXObject) { xmlHttp = new ActiveXObject("Microsoft.XMLHTTP"); } else if (window.XMLHttpRequest) { xmlHttp = new XMLHttpRequest(); } } //返回信息 function handleRefresh() { if (xmlHttp.readyState == 4) { if (xmlHttp.

更换域名 紧急通告

紧急公告 http://webhsell.pub 后门查杀,域名无法在国内备案(管局不支持.PUB),现已准备全面迁移到http://shellpub.com 更新 2017-07-13 17:00 云查杀功能 已经恢复 目前已经恢复全部功能,有任何问题欢迎随时反馈 2017-07-13 15:40 经过技术人员的紧急抢修目前http://n.webshell.pub已经恢复 已使用国外CDN通过301跳转到http://n.shellpub.com 部分地区可能需要等本地DNS更新,一般在24小时之内完成 云查杀功能还在紧急抢修当中 影响范围: 部分地区无法打开 n.webshell.pub 在线查杀 河马扫描器云查杀功能无法使用 导致有部分漏报 http://www.webshell.pub 使用国外CDN,不受影响

漏洞预警-WordPress Core远程代码执行

漏洞预警-WordPress Core远程代码执行(无需验证和插件) 2017年5月1日,WordPress 4.6版本被曝出远程代码执行(RCE)漏洞,国外legalhackers发布该漏洞利用视频,从被曝出的视频中可以看到该漏洞在不需要验证,同时不需要安装任何插件即可获取反弹的shell。北京时间2017年5月4日,legalhackers发布了相关漏洞利用代码。 WordPress是一款由PHP语言开发的内容管理系统(CMS)系统。是当今最流行的cms,很适合二次开发,使用量超过百万。潜在影响范围广泛,请大家在官方补丁出来之前,提早做好防范。以免带来不必要的麻烦。 google搜索Wordpress的结果 我们将持续关注此漏洞 漏洞详情与PoC 该漏洞主要是由于使用了存在漏洞的PHPMailer,导致存在远程代码执行漏洞。 #!/bin/bash # # __ __ __ __ __ # / / ___ ____ _____ _/ / / / / /___ ______/ /_____ __________ # / / / _ \/ __ `/ __ `/ / / /_/ / __ `/ ___/ //_/ _ \/ ___/ ___/ # / /___/ __/ /_/ / /_/ / / / __ / /_/ / /__/ ,< / __/ / (__ ) # /_____/\___/\__, /\__,_/_/ /_/ /_/\__,_/\___/_/|_|\___/_/ /____/ # /____/ # # # WordPress 4.

1

##webshell.pub 第一篇博文 #关于我们 WEBSHELL.PUB 团队成员来自国内顶尖安全团队,专注webshell查杀研究。拥有海量webshell样本和自主查杀技术,采用传统特征+云端大数据双引擎的查杀技术。查杀速度快、精度高、误报低。