/ Recent content on SHELLPUB BLOG Hugo -- gohugo.io © 2017. All rights reserved. Wed, 19 Aug 2020 22:43:21 +0800 /2020/08/19/hm_new_version182.html Wed, 19 Aug 2020 22:43:21 +0800 /2020/08/19/hm_new_version182.html 河马查杀1.8.2 发布 下载地址 windows版下载 linux64位下载 linux32位下载 Linux版使用教程 windows版使用教程 功能更新 本次更新 新增规则，支持检测冰蝎3.0(Behinder) 新增规则，支持检测哥斯拉(godzllia) 优化yii2检测效果，去掉一些疑似文件 如何使用深度模式 深度解码模式命令格式为hm deepscan <target dir> 下面动图演示了linux系统下先用scan模式进行扫描，接着使用deepscan进行扫描 windows下可以在开始扫描按钮左侧勾选深度模式来决定是否启用深度解码器 已知问题 不支持内核2.6.18以下版本（即centos5系统默认内核版本)且无支持计划 兼容性测试 | OS | kernel | version | arch | result | |------------|-----------------|---------|------|-------- | windows | - | >=2003 | 32/64| OK | | CentOS | >=2.6.32 | >=6 | | OK | | CentOS | <2.6.32 | < 6 | 32/64| 不支持 | | Ubuntu | - | - | | OK | | Kali | - | 2. /2020/07/18/hm_new_version181.html Sat, 18 Jul 2020 16:40:49 +0800 /2020/07/18/hm_new_version181.html 河马查杀1.8.1 发布 下载地址 windows版下载 linux64位下载 linux32位下载 Linux版使用教程 windows版使用教程 功能更新 本次更新 新增规则，支持nginx后门检测 优化一条疑似规则降低误报 不再支持从1.4.2之前版本升级到最新版，请手动下载到最新版 如何使用深度模式 深度解码模式命令格式为hm deepscan <target dir> 下面动图演示了linux系统下先用scan模式进行扫描，接着使用deepscan进行扫描 windows下可以在开始扫描按钮左侧勾选深度模式来决定是否启用深度解码器 BUG修正 修正云查杀接口BUG，降低误报 已知问题 不支持内核2.6.18以下版本（即centos5系统默认内核版本)且无支持计划 兼容性测试 | OS | kernel | version | arch | result | |------------|-----------------|---------|------|-------- | windows | - | >=2003 | 32/64| OK | | CentOS | >=2.6.32 | >=6 | | OK | | CentOS | <2.6.32 | < 6 | 32/64| 不支持 | | Ubuntu | - | - | | OK | | Kali | - | 2. /2020/07/17/windows_dns_vuln.html Fri, 17 Jul 2020 13:45:36 +0800 /2020/07/17/windows_dns_vuln.html Windows DNS Server “蠕虫级”漏洞通知，请马上升级 某些情形下，企业DNS Server和域控处于内网同一台服务器中，SIGRed漏洞影响的组件dns.exe是以System权限运行，目前网络上已有PoC公开，建议用户尽快升级，避免由于该漏洞导致域控沦陷。 简介 微软公司在本月的安全补丁推送中修复了一个长达17年的“蠕虫级”漏洞。据国外研究机构checkpoint描述成功利用SIGRed漏洞可以达到远程提权的效果。其影响几乎市面上主流的所有Windows Server版本（Windows Server 2008 、2012、2016、2019以及之后的Windows Server, version 1903、1909、2004）。目前网络已经有公开的dns拒绝服务PoC代码，请务必重视！ 漏洞原理简述 在Windows系统中，DNS客户端主要实现在dnsspi.dll中，而DNS服务端是由dns.exe负责响应和处理请求。而SIGRed漏洞就发生在dns.exe!SigWireRead函数。 可以看到RR_AllocateEx分配内存是通过16位寄存器cx，如果我们这里可以控制其第一个参数大于0xffff，那么就会产生整数溢出，紧接会触发到后面的memcpy导致崩溃。 触发漏洞 引用checkpoint的研究，利用DNS Pointer Compression。这里主要是一种类似指针指向的压缩编码方式。 c00c其中0xc0是引用这个packet内部值的标识。0x0c是基于dns header偏移位置，这里指向 () chain。也就是下图划线的部分。其中08是size，research是value。如果我们修改0x0c为0x0d，那么size就变成0x72,这就是导致unCompression数据长度发生变化，触发整数溢出。 处置建议 升级微软官方最新补丁 临时处置建议 通过设置注册表临时缓解，然后重启dns服务 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters DWORD = TcpReceivePacketSize Value = 0xFF00 如之后升级补丁，删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters即可。 参考 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350 https://research.checkpoint.com/2020/resolving-your-way-into-domain-admin-exploiting-a-17-year-old-bug-in-windows-dns-servers/ 关注我们 /2020/07/14/hm_new_version180.html Tue, 14 Jul 2020 09:21:49 +0800 /2020/07/14/hm_new_version180.html 河马查杀1.8.0 发布[抽奖活动见文章末尾] 下载地址 windows版下载 linux64位下载 linux32位下载 Linux版使用教程 windows版使用教程 功能更新 本次更新集成PHP深度解码器，PHP深度解码在1.6.x时代完成初步开发，集成于在线查杀，经过几个版本的迭代，正式将PHP深度解码器下放到本地客户端，在使用深度解码器(deepscan)的情况下查杀速度较慢，建议先用常规模式(scan)进行快速查杀，再用深度查杀进行精准差查杀。 另外：全新的查杀引擎2.0的研发工作已经启动，敬请关注！ 集成深度PHP解码器，增强PHP类webshell检测能力 linux系统支持扫描 /srv 目录, /srv 在之前的版本作为系统白名单目录被忽略 支持检测冰蝎v2.0.1后门 增加4条php文件检测规则，2条疑似文件检测规则 增加1条jsp疑似文件检测规则 如何使用深度模式 深度解码模式命令格式为hm deepscan <target dir> 下面动图演示了linux系统下先用scan模式进行扫描，接着使用deepscan进行扫描 windows下可以在开始扫描按钮左侧勾选深度模式来决定是否启用深度解码器 BUG修正 修复1.7.x版本遇到大文件后扫描缓慢的问题 已知问题 不支持内核2.6.18以下版本（即centos5系统默认内核版本)且无支持计划 兼容性测试 | OS | kernel | version | arch | result | |------------|-----------------|---------|------|-------- | windows | - | >=2003 | 32/64| OK | | CentOS | >=2.6.32 | >=6 | | OK | | CentOS | <2. /2020/07/14/hm_windows_usage.html Tue, 14 Jul 2020 09:08:48 +0800 /2020/07/14/hm_windows_usage.html windows使用教程 下载安装 访问官网 或者点此直接下载 解压缩zip文件 双击安装程序进行安装 扫描 点击立即扫描选择要扫描的目录 支持选择多个目录 单击开始扫描按钮 使用深度解码器进行深度扫描 处理结果 扫描完成后处理WEBSHELL FAQ: 如果发现扫描失败的提醒请联系我们的技术人员 关注我们 联系我们 如果您在使用中遇到什么问题或者有什么建议欢迎联系我们 QQ: 1494922137 EMAIL: service@shellpub.com /2020/05/31/hm_new_version171.html Sun, 31 May 2020 21:21:49 +0800 /2020/05/31/hm_new_version171.html 河马查杀1.7.1 发布 下载地址 windows版下载 linux64位下载 linux32位下载 Linux版使用教程 windows版使用教程 功能更新 本次更新为修复性更新，可以通过命令hm update升级到最新版或者在官网下载最新版 BUG修正 修复1.7.0版引入的扫描大文件时引发的OOM问题 已知问题 不支持内核2.6.18以下版本（即centos5系统默认内核版本)且无支持计划 兼容性测试 | OS | kernel | version | arch | result | |------------|-----------------|---------|------|-------- | windows | - | >=2003 | 32/64| OK | | CentOS | >=2.6.32 | >=6 | | OK | | CentOS | <2.6.32 | < 6 | 32/64| 不支持 | | Ubuntu | - | - | | OK | | Kali | - | 2. /2020/05/06/saltstack%E5%A4%9A%E7%89%88%E6%9C%ACrce%E5%AE%89%E5%85%A8%E9%80%9A%E5%91%8A.html Wed, 06 May 2020 11:42:31 +0800 /2020/05/06/saltstack%E5%A4%9A%E7%89%88%E6%9C%ACrce%E5%AE%89%E5%85%A8%E9%80%9A%E5%91%8A.html 安全通告 Saltstack 定位是自动化运维工具，运维工具一旦出现漏洞危害影响较大。同类型的运维工具还有ansible,puppet,Chef 国外安全团体F-Secure报告了两个Saltstack漏洞 包含两个CVE CVE-2020-11651 水平权限绕过漏洞 CVE-2020-11652 任意文件读写漏洞 通过对这两个漏洞的利用可以实现RCE的效果，在控制salt-master之后，通过salt大面积控制在运维系统下的主机 关于saltstack SaltStack是基于Python开发的一套C/S架构配置管理工具，是一个服务器基础架构集中化管理平台，具备配置管理、远程执行、监控等功能，基于Python语言实现，结合轻量级消息队列（ZeroMQ）与Python第三方模块（Pyzmq、PyCrypto、Pyjinjia2、python-msgpack和PyYAML等）构建。 影响范围 SaltStack < 2019.2.4 SaltStack < 3000.2 问题排查 1.查看进程ps -ef|grep salt 如图所示为阿里云中某机器中招后截图，其中三个salt相关进程。 alicloud-salt-minion 为官方进程 /tmp/salt-minions 为挖矿样本 md5sum /tmp/salt-minions 计算挖矿样本hash为 目前已知恶意hash如下： - a28ded80d7ab5c69d6ccde4602eef861 - 8ec3385e20d6d9a88bc95831783beaeb - 2c5cbc18d1796fd64f377c43175e79a3 - dc5b2fa7f85aa0bbd226afe3b5fcaeea - defc9efd1b430aea797e573922fa49ae file命令查看文件类型，挖矿进程为elf文件 正常文件为python脚本文件 2.检查网路链接netstat -anp|grep tcp|grep ESTABLISHED 如图所示，排除掉本地连接、排除掉入向链接，观察外连进程状态。 已知挖矿主机远程IP如下： - 217.12.210.192 - 206.189.92.32 3.阿里云安全面板通知 如果您使用的阿里云，可以在安全面板上看到如图类似告警，请注意关注安全告警 4.其他行为 目前发现该挖矿程序会关闭cpu占用较高的进程，在系统日志里可以查看到kill记录grep -r "kill" /var/log/messages* 也会关闭docker中的其他挖矿程序 修复建议 建议重装系统，因为salt进程权限为root权限，理论上被黑后，黑客拥有任意权限，可能种入隐藏后门。如果暂时无法重装系统可以使用阿里云提供的一键清理脚本curl https://ageis-check.oss-cn-hangzhou.aliyuncs.com/salt_miner_clean.sh | /bin/bash 升级到安全版本 2019. /2020/02/15/hm_new_version170.html Sat, 15 Feb 2020 19:21:49 +0800 /2020/02/15/hm_new_version170.html 河马查杀1.7.0 发布 下载地址 windows版下载 linux64位下载 linux32位下载 Linux版使用教程 windows版使用教程 功能更新 增强大马查杀，修复292个大马绕过； 移除了挖矿检测功能，关于挖矿检测我们后续会推出专门的检测程序； 增强云查杀，本特性会导致扫描速度下降；但是可以快速增强检测能力，只需要在云端增强就可以提高本地的检出能力，而用户无需更新应用版本； 使用了新的汉化（多语言）机制，目前在支持中文的系统下尽量显示中文；目前本产品大多数用户国内用户；linux支持通过环境变量HM_LANG来修改输出语言，参考下方常见问题8 使用了最新的编译器进行编译 BUG修正 修复1.6.0对glibc版本要求过高的BUG 已知问题 不支持内核2.6.18以下版本（即centos5系统默认内核版本)且无支持计划 兼容性测试 | OS | kernel | version | arch | result | |------------|-----------------|---------|------|-------- | windows | - | >=2003 | 32/64| OK | | CentOS | >=2.6.32 | >=6 | | OK | | CentOS | <2.6.32 | < 6 | 32/64| 不支持 | | Ubuntu | - | - | | OK | | Kali | - | 2. /2019/09/25/hm_new_version160.html Wed, 25 Sep 2019 09:08:32 +0800 /2019/09/25/hm_new_version160.html 河马查杀1.6.0 发布 下载地址 windows版下载 linux64位下载 linux32位下载 Linux版使用教程 windows版使用教程 功能更新 新增hmdocker –docker版的查杀，以适配更多的linux发行版 重写了asp解码，取消跨语言调用；这个特性会导致扫描asp文件速度变慢，但可以检出更多的asp类webshell 增加jar文件检测，检测方法同war文件； 如果您不需要检测jar文件，可以在hm.yml中忽略jar文件 适配Kali系统 新增规则 支持检测phpstudy DLL后门 BUG修正 修复扫描文件时指定输出路径(-output参数)无效的BUG 已知问题 不支持内核2.6.18以下版本（即centos5系统默认内核版本)且无支持计划 兼容性测试 | OS | kernel | version | arch | result | |------------|-----------------|---------|------|-------- | windows | - | >=2003 | 32/64| OK | | CentOS | >=2.6.18 | >=5 | | OK | | CentOS | <2.6.18 | < 5 | 32/64| 不支持 | | Ubuntu | - | - | | OK | | Kali | - | 2. /2019/05/21/cve-2019-0708_warning_fix.html Tue, 21 May 2019 10:18:30 +0800 /2019/05/21/cve-2019-0708_warning_fix.html CVE-2019-0708漏洞预警及修复建议 附POC 漏洞概述 2019年5月14日，微软发布阅读安全更新，其中包含一个RDP(远程桌面3389）远程代码执行的漏洞安全补丁。该漏洞用允许攻击者利用对外开放的RDP服务直接入侵系统，远程执行代码。 受影响的系统 Windows 7 Windows Server 2008 R2 Windows Server 2008 Windows XP Windows 2003 修复建议 如果您使用的是桌面版的系统，如飞必要，请关闭远程桌面功能 如果是服务器版本，请尽快安装windows漏洞补丁 打开操作系统的自动更新功能 使用杀毒软件 补丁下载地址 windows 7 x64 补丁下载 windows 7 x86 补丁下载 Windows Server 2008 x86 补丁下载 Windows Server 2008 x64 补丁下载 Windows Server 2008 R2 Itanium 补丁下载 Windows Server 2008 R2 x64 Windows Server 2008 Itanium Windows Server 2003 x86 Windows Server 2003 x64 Windows XP SP3 x86 Windows XP SP2 x64 Windows XP SP3 for XPe 备注：x64 表示64位操作系统, x86 表示32位系统 /2019/05/07/xmldecode_ana.html Tue, 07 May 2019 22:18:30 +0800 /2019/05/07/xmldecode_ana.html XMLDecoder解析流程分析 前言 经过了Weblogic的几个XMLDecoder相关的CVE(CVE-2017-3506、CVE-2017-10352、CVE-2019-2725)，好好看了一下XMLDecoder的分析流程。 本文以jdk7版本的XMLDecoder进行分析,jdk6的XMLDecoder流程都写在了一个类里面（com.sun.beans.ObjectHandler） 此处只分析XMLDecoder的解析流程，具体Weblogic的漏洞请看其它几位师傅写的Paper。 WebLogic RCE(CVE-2019-2725)漏洞之旅-Badcode Weblogic CVE-2019-2725 分析报告-廖新喜 不喜欢看代码的可以看官方关于XMLDecoder的文档： Long Term Persistence of JavaBeans Components: XML Schema XMLDecoder的几个关键类 XMLDecoder的整体解析过程是基于Java自带的SAX XML解析进行的。 以下所有类都在com.sun.beans.decoder包中 DocumentHandler DocumentHandler继承自DefaultHandler，DefaultHandler是使用SAX进行XML解析的默认Handler，所以Weblogic在对XML对象进行validate的时候也使用了SAX，保证过程的一致性。 DefaultHandler实现了EntityResolver, DTDHandler, ContentHandler, ErrorHandler四个接口。 DocumentHandler主要改写了ContentHandler中的几个接口，毕竟主要是针对内容进行解析的，其它的保留默认就好。 ElementHandler及相关继承类 XMLDecoder对每种支持的标签都实现了一个继承与ElementHandler的类，具体可以在DocumentHandler的构造函数中看到： 所以XMLDecoder只能使用如上标签。 其中继承关系与函数重写关系如下（很大，可以看大图或者自己用idea生成再看）： 如上的继承关系也是object标签可以用void标签替代用的原因，后面详说。 ValueObject及其相关继承类 ValueObject是一个包装类接口，包裹了实际解析过程中产生的对象（包括null) 继承关系： 一般的对像由ValueObjectImpl进行包裹，而null\true\false（非boolean标签）则直接由自身Handler进行代表，实现相关接口。 XMLDecoder过程中的几个关键函数 DocumentHandler的XML解析相关函数的详细内容可以参考Java Sax的ContentHandler的文档。 ElementHandler相关函数可以参考ElementHandler的文档。 DocumentHandler创建各个标签对应的ElementHandler并进行调用。 startElement 处理开始标签，包括属性的添加 DocumentHandler:。XML解析处理过程中参数包含命名空间URL、标签名、完整标签名、属性列表。根据完整标签名创建对应的ElementHandler并添加相关属性，继续调用其startElement。 ElementHandler: 除了array标签以外，都无操作。 endElement 结束标签处理函数 DocumentHandler: 调用对应ElementHandler的endElement函数，并将当前ElementHandler回溯到上一级的ElementHandler。 ElementHandler: 没看有重写的，都是调用抽象类ElementHandler的endElement函数，判断是否需要向parent写入参数和是否需要注册标签对象ID。 characters DocumentHandler: 标签包裹的文本内容处理函数，比如处理<string>java.lang.ProcessBuilder</string>包裹的文本内容就会从这个函数走。函数中最终调用了对应ElementHandler的addCharacter函数。 addCharacter ElementHandler: ElementHandler里的addCharacter只接受接种空白字符(空格\n\t\r)，其余的会抛异常，而StringElementHandler中则进行了重写，会记录完整的字符串值。 addAttribute ElementHandler: 添加属性，每种标签支持的相应的属性，出现其余属性会报错。 getContextBean ElementHandler: 获取操作对象，比如method标签在执行方法时，要从获取上级object/void/new标签Handler所创建的对象。该方法一般会触发上一级的getValueObject方法。 getValueObject ElementHandler: 获取当前标签所产生的对象对应的ValueObject实例。具体实现需要看每个ElementHandler类。 /2018/11/20/hm_new_version150.html Tue, 20 Nov 2018 12:08:32 +0800 /2018/11/20/hm_new_version150.html 河马查杀1.5.0 发布 本次更新为修复性更新 下载地址 windows版下载 linux64位下载 linux32位下载 Linux版使用教程 windows版使用教程 功能更新 现在可以通过配置文件hm.yml（首次扫描后自动生成)指定只扫描的文件类型 注意如果配置了只扫描的类型，那么排除类型将不会生效，不在名单中的类型都不会扫描，建议新手不要使用这种配置 BUG修正 修复了一个崩溃后不能正常退出的BUG 已知问题 最新版的kali下可能无法运行(内核4.14, 增加了一个GCC选项 https://github.com/golang/go/issues/20427), 如果您须要这个环境下的程序请通过本文下方的联系方式联系我们免费获取。 已测试环境 | OS | kernel | arch | result | |------------|-----------------|-------|--------| | windows7 | 6.1.7601 | amd64 | OK | | CentoOS7.4 | 3.10.0-693.21.1 | amd64 | OK | | CentOS6.0 | 2.6.32-71 | 386 | OK | |Ubuntu18.04 |4.15.0-29-generic| amd64 | OK | | Kali2. /2018/07/18/weblogic_vul_alarm.html Wed, 18 Jul 2018 14:12:10 +0800 /2018/07/18/weblogic_vul_alarm.html 预警 今日(北京时间2018-07-18)Oracle官方发布CPU（Critical Patch Update关键更新补丁)通告, 本次通告包含的一个反序列化漏洞CVE-2018-2893和远程命令执行CVE-2018-2894危害较大，可被利用来挖矿； 其中CVE-2018-2894漏洞可以直接通过HTTP方式利用，安全漏洞评分系统(CVSS)高达9.8，请站长朋友及时更新，或者使用一些防护产品，以免造成严重损失。 关于WebLogic WebLogic是美国Oracle公司出品的一个Application Server，确切的说是一个基于JAVAEE架构的中间件，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。 Oracle 一般会在1，4，7，10月中距离17号最近的周二发布安全补丁包。本站上次WebLogic预警也是今年4月份的18号。 影响范围 Weblogic 10.3.6.0 Weblogic 12.1.3.0 Weblogic 12.2.1.2 Weblogic 12.2.1.3 修复建议 目前Oracle官方更新建议请访问 http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html 建议使用河马查杀客户端检测WEBSHELL, 关于河马 专注WEB安全研究与产品开发，有多年WEBSHELL清理检测经验 参考 oracle官方通告 白帽汇 漏洞预警 ADLab原创漏洞 漏洞预警-CVE-2018-2628 WebLogic反序列化远程代码执行 /2018/06/04/hm_new_version141.html Mon, 04 Jun 2018 14:05:02 +0800 /2018/06/04/hm_new_version141.html 河马查杀1.4.1 发布 本次更新为修复性更新 下载地址 windows版下载 linux64位下载 linux32位下载 功能更新 移除了一条存在误报的黑链检测规则 BUG修正 windows 图形界面体验优化，在添加扫描目录时现在点击添加扫描路径的文字也能添加 已知问题 最新版的kali下可能无法运行(内核4.14, 增加了一个GCC选项 https://github.com/golang/go/issues/20427), 如果您须要这个环境下的程序请通过本文下方的联系方式联系我们免费获取。 常见问题 扫描失败，或者扫描文件数目为0 软件限制了一些目录，例如Linux系统下/proc/目录文件不做检测，windows下C:/windows目录等 扫描时崩溃 请检查您使用的软件版本和操作系统版本是否匹配 情检查您当前的用户是否为管理员用户 linux下没有找到可执行的文件 请检查是否配置了环境变量或者使用./hm的方式来运行程序 如何配置扩展名白名单 在软件目录下有hm.yml文件，按照默认格式添加不需要被扫描的文件类型的扩展名 jpg,png,gif不建议添加，有一类后门是隐藏在图片之中的。 如何查看扫描结果 扫描结果在扫描结束之后会保存到软件目录下的result.csv文件中，windows版可以在界面上直接查看结果 如何实现定时扫描 linux利用系统crontab，在crontab中添加定时扫描任务。 如果安装了旧版软件是否能够自动更新 linux环境下您可以在软件所在目录执行`hm update`命令，软件会自动升级到最新版本 如果在使用过程中遇到问题，可以在本文下面留言或加QQ:1494922137 /2018/04/18/weblogic_rce_alarm.html Wed, 18 Apr 2018 10:02:19 +0800 /2018/04/18/weblogic_rce_alarm.html 预警 今日凌晨(北京时间2018-04-18)Oracle官方发布CPU（Critical Patch Update关键更新补丁)通告, 本次更新修复了一个未授权远程代码执行的反序列化漏洞CVE-2018-2628。河马安全研究员已就此漏洞进行了验证，已经成功复现此漏洞。本漏洞危害较大可被利用来挖矿，对用户造成严重损失，建议用户第一时间更新。 关于WebLogic WebLogic是美国Oracle公司出品的一个application server，确切的说是一个基于JAVAEE架构的中间件，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。 影响范围 Weblogic 10.3.6.0 Weblogic 12.1.3.0 Weblogic 12.2.1.2 Weblogic 12.2.1.3 修复建议 目前Oracle官方已经发布补丁，请移步 http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html 安装对应的补丁 如果在生产环境中，也可以临时禁用Weblogic T3协议， 据称此种方法存在被绕过风险，建议及时验证兼容性，并安装最新官方补丁 在安装补丁后建议使用河马WEBSHELL查杀客户端进行WEBSHELL检测和清理。 关于河马 专注WEB安全研究与产品开发，有多年WEBSHELL清理检测经验 参考 oracle官方通告 http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html 绿盟威胁情报 http://blog.nsfocus.net/category/threatalerts/ 白帽汇 漏洞预警 /bug/ Tue, 10 Apr 2018 15:31:21 +0800 /bug/ id， bug编号 状态，是否已修复 计划, 修复计划 范围，受影响版本范围 id 状态 范围 计划 描述 1 已修复 小于1.3.2 已修复(=1.3.2) 请求dns崩溃参考https://yq.aliyun.com/articles/238940 2 已修复 所有版本 已修复(=2.6.18) linux内核版本4.4时，扫描时会崩溃 3 已修复 所有版本 已修复 kali无法运行 4 已修复 1. /faq/ Tue, 10 Apr 2018 15:31:21 +0800 /faq/ TODO: /history/ Tue, 10 Apr 2018 15:31:21 +0800 /history/ /online/ Mon, 09 Apr 2018 00:00:00 +0000 /online/ 联系我们 QQ:1494922137 service@shellpub.com 京ICP备16011091号-4 /2018/03/16/ubuntu_privilege-escalation_vulnerability_warning.html Fri, 16 Mar 2018 16:10:00 +0800 /2018/03/16/ubuntu_privilege-escalation_vulnerability_warning.html 漏洞预警–ubuntu 系统存在本地提权漏洞 近日相关安全社群了解到内核版本 4.4.0-116的Ubuntu系统最新的本地提权漏洞。目前相关利用代码已经开始流传扩散，请广大站长，运维人员尽早做出应对措施，并跟进Ubuntu官方公告以便及时更新官方修复补丁。 1. 存在漏洞的版本 经过河马卫士的安全人员进行测试确认，目前16.04的版本存在漏洞。另目前AWS,阿里云,腾讯云的Ubuntu系统的云主机受该漏洞影响，其他的国内外公有云厂商均可能受此影响。 内核版本为4.4.0-116的ubuntu系统存在此漏洞 对应的ubuntu发型版本号为16.04 2. 修复建议 目前暂未有明确的补丁升级方案。 建议用户在评估风险后，通过修改内核参数限制普通用户使用bpf(2)系统调用： # echo 1 > /proc/sys/kernel/unprivileged_bpf_disable 此临时修复方案来自360 参考资料 360 CEDRT ubuntu本地提权攻击预警 /2018/01/30/ms17010_new_threat.html Tue, 30 Jan 2018 13:46:17 +0800 /2018/01/30/ms17010_new_threat.html 漏洞预警-MS17010最新利用工具公布，Wanncry再次来袭 影响Windows2000至2016所有版本 2018年01月29日，著名漏洞利用框架Metasploit添加了最新的针对MS17010（永恒之蓝）漏洞的最新利用模块。该利用模块可以攻击包括windows2000至2016的所有未打该补丁的Windows操作系统。shellpub.com 提醒广大站长更新系统补丁，做好防范工作，以免受到该漏洞的影响。 MS17010(永恒之蓝)是从网络中泄露的NSA攻击工具包中针对SMB协议的远程代码执行漏洞。该漏洞在2017年被公布，微软公司在4月份发布补丁，但是未引起广泛关注。导致后面的wanncry利用该漏洞大肆传播，影响全球计算机系统。造成了巨大的影响。而最新公布的利用代码同样影响Windows 2016的系统。 利用工具利用成功截图 漏洞影响 - Affect 该漏洞影响一下版本的Windows 操作系统： Windows Server 2000 SP0 x86 Windows 2000 Professional SP4 x86 Windows 2000 Advanced Server SP4 x86 Windows XP SP0 x86 Windows XP SP1 x86 Windows XP SP2 x86 Windows XP SP3 x86 Windows XP SP2 x64 Windows Server 2003 x86 Windows Server 2003 Enterprise SP 2 x86 Windows Server 2003 x64 Windows Vista Home Premium x86 Windows Server 2008 x64 Windows 7 x86 Windows 7 x64 Windows Server 2008 R2 x64 Windows 8 x86 Windows 8 x64 Windows 8. /2018/01/29/hm_new_version140.html Mon, 29 Jan 2018 21:31:21 +0800 /2018/01/29/hm_new_version140.html 河马查杀1.4.0 发布 随着weblogic漏洞（CVE-2017-3506)的爆发，近期挖矿程序猖獗; 本次更新主要增加了几个挖矿程序的检测规则。 增加: 黑链、暗链的检测规则 恶意挖矿脚本检测规则 恶意挖矿程序检测规则 下载地址 windows版下载 linux64位下载 linux32位下载 功能更新 升级查杀引擎，提高查杀速度 BUG修正 修正版界面上扫描时间总是被累计，不会重置的BUG 已知问题 windows环境下，由于权限问题，有小概率导致扫描崩溃（测试环境无法复现），如果您遇到这个问题，请联系我们。 常见问题 扫描失败，或者扫描文件数目为0 软件限制了一些目录，例如Linux系统下/proc/目录文件不做检测，windows下C:/windows目录等 扫描时崩溃 请检查您使用的软件版本和操作系统版本是否匹配 情检查您当前的用户是否为管理员用户 linux下没有找到可执行的文件 请检查是否配置了环境变量或者使用./hm的方式来运行程序 如何配置扩展名白名单 在软件目录下有hm.yml文件，按照默认格式添加不需要被扫描的文件类型的扩展名 jpg,png,gif不建议添加，有一类后门是隐藏在图片之中的。 如何查看扫描结果 扫描结果在扫描结束之后会保存到软件目录下的result.csv文件中，windows版可以在界面上直接查看结果 如何实现定时扫描 linux利用系统crontab，在crontab中添加定时扫描任务。 如果安装了旧版软件是否能够自动更新 linux环境下您可以在软件所在目录执行`hm update`命令，软件会自动升级到最新版本 如果在使用过程中遇到问题，可以在本文下面留言或加QQ:1494922137 /2017/12/22/hm_new_version132.html Fri, 22 Dec 2017 09:31:21 +0800 /2017/12/22/hm_new_version132.html 河马查杀1.3.2 发布 近期不少用户反馈扫描时异常崩溃，我们调试后发现在获取版本失败导致的此问题，这个版本主要是修复这个BUG。 今日冬至，大家大吉大利，晚上吃鸡和饺子！ 下载地址 windows版下载 linux64位下载 linux32位下载 功能更新 增加反馈页面 BUG修正 修正版本号获取失败时界面崩溃的BUG 优化 之前版本CGO DNS请求需要配置环境变量，这个版本直接集成到软件之中了 UI首页增加官方QQ，方便客户即时沟通 常见问题 扫描失败，或者扫描文件数目为0 软件限制了一些目录，例如Linux系统下/proc/目录文件不做检测，windows下C:/windows目录等 扫描时崩溃 请检查您使用的软件版本和操作系统版本是否匹配 最常见导致崩溃的就是系统cgo兼容新问题，解决办法参考#已知问题 没有找到可执行的文件 请检查是否配置了环境变量或者使用./hm的方式来运行程序 如何配置扩展名白名单 在软件目录下有hm.yml文件，按照默认格式添加不需要被扫描的文件类型的扩展名 jpg,png,gif不建议添加，有一类后门是隐藏在图片之中的。 如何查看扫描结果 扫描结果在扫描结束之后会保存到软件目录下的result.csv文件中，windows版可以在界面上直接查看结果 如何实现定时扫描 linux利用系统crontab，在crontab中添加定时扫描任务。 如果安装了旧版软件是否能够自动更新 linux环境下您可以在软件所在目录执行`hm update`命令，软件会自动升级到最新版本 如果在使用过程中遇到问题，可以在本文下面留言或加QQ:1494922137 /2017/11/29/hm_new_version.html Wed, 29 Nov 2017 09:31:21 +0800 /2017/11/29/hm_new_version.html 下载地址 windows版下载 linux64位下载 linux32位下载 功能更新 增加一条绕过规则 增加了门罗币挖矿脚本检测 支持离线模式下深度查杀 BUG修正 修正某些特殊文件路径无法检测的BUG 修正了一个中英文翻译显示不正确的BUG 优化 优化了文件包含类后门检测 优化白名单，允许扫描linux /mnt目录，windows桌面目录 已知问题 在部分linux系统(ubuntu等)DNS由于cgo自身问题(参考链接https://yq.aliyun.com/articles/238940)导致发请求时崩溃, 解决办法 在环境变量中加入 export GODEBUG=netdns=go 常见问题 扫描失败，或者扫描文件书目为0 软件限制了一些目录，例如Linux系统下/proc/目录文件不做检测，windows下C:/windows目录等 扫描时崩溃 请检查您使用的软件版本和操作系统版本是否匹配 最常见导致崩溃的就是系统cgo兼容新问题，解决办法参考#已知问题 没有找到可执行的文件 请检查是否配置了环境变量或者使用./hm的方式来运行程序 如何配置扩展名白名单 在软件目录下有hm.yml文件，按照默认格式添加不需要被扫描的文件类型的扩展名 jpg,png,gif不建议添加，有一类后门是隐藏在图片之中的。 如何查看扫描结果 扫描结果在扫描结束之后会保存到软件目录下的result.csv文件中，windows版可以在界面上直接查看结果 如何实现定时扫描 linux利用系统crontab，在crontab中添加定时扫描任务。 如果安装了旧版软件是否能够自动更新 linux环境下您可以在软件所在目录执行`hm update`命令，软件会自动升级到最新版本 如果在使用过程中遇到问题，可以在本文下面留言或添加QQ:1494922137 /2017/10/23/down_fix.html Thu, 23 Nov 2017 10:31:21 +0800 /2017/10/23/down_fix.html 河马WEBSHELL扫描软件下载修复公告 河马WEBSHELL扫描器软件下载原来是托管在GITHUB上的; 因19大召开，部分用户出现无法正常下载或者下载缓慢的现象。现已将国内的用户下载从GITHUB修改到独立的线路上了，给您带来的不便，敬请原谅。 WINDOWS版下载 Linux 64位版下载 Linux 32位版下载 /2017/10/11/%E6%B2%B3%E9%A9%ACwebshell%E6%9C%BA%E5%99%A8%E5%AD%A6%E4%B9%A0.html Wed, 11 Oct 2017 21:15:21 +0800 /2017/10/11/%E6%B2%B3%E9%A9%ACwebshell%E6%9C%BA%E5%99%A8%E5%AD%A6%E4%B9%A0.html 河马-利用机器学习检测WEBSHELL 1. START 近些年机器学习火的一塌糊涂，机器学习、人工智能、深度学习、数据挖掘这些词汇耳熟能详。这些术语的背后是数学、统计学、计算机科学等多门学科的融合。利用这些技术使计算机具有归纳总结等学习能力来服务人类。 2. DO 借着这个国庆+中秋双节8天假日，做了一个简单的demo，算是河马安全在机器学习上第一次尝试。 查杀传送门 http://ml.shellpub.com 界面效果 区分一个文件是否是WEBSHELL是一个典型的分类过程，属于监督学习 有多种分类算法可选，尝试了K邻近、贝叶斯、决策树、逻辑回归几种方法。在我的实验条件下，使用决策树算法效果比较好。试验中使用4000个黑样本，2000个白样本（来自开源CMS）最终结果如下： 准确率:0.97 召回率:0.9687 监督学习训练结果受训练样本集、分类特征值、数学模型等多种因素影响。 机器学习查杀引擎目前处于试验阶段，结果仅供参考，建议移步正式版或者下载客户端 3. NEXT TODO 目前白样本的误报还有点高，收集更多的白样本加入到训练集中 改进feature,使之有更好的效果 ## 各位请轻拍砖 如有任何建议意见请留言或者直接联系我们，请继续关注 QQ:1494922137 service@shellpub.com /2017/08/14/xshell_with_backdoor.html Mon, 14 Aug 2017 15:31:21 +0800 /2017/08/14/xshell_with_backdoor.html 安全通告–终端软件XSHELL多版本存在后门 据360安全客与360CERT消息，知名linux终端软件XSHELL存在后门，而且是官方版本。包括XSHELL软件单体和其安装套件Xmanager. XSHELL是一个强大的安全终端模拟软件，它支持SSH1, SSH2, 以及Microsoft Windows 平台的TELNET 协议。详细介绍请看这里 存在后门的版本 Xshell Build 5.0.1322 Xshell Build 5.0.1325 Xmanager Enterprise 5.0 Build 1232 Xmanager 5.0 Build 1045 Xftp 5.0 Build 1218 Xftp 5.0 Build 1221 Xlpd 5.0 Build 1220 修复建议 建议用户使用以下步骤进行修复 升级XSHELL及其套件到最新版本 修改linux服务器系统密码；在可能的情况下使用key+passphrase, 如果您不熟悉这个操作，请查看教程 参考 消息原文: http://bobao.360.cn/news/detail/4263.html linux 禁止帐号密码验证 使用key验证方式登录SSH: http://blog.csdn.net/zhi_heart/article/details/48656467 /2017/08/09/%E6%B2%B3%E9%A9%ACwebshell%E6%89%AB%E6%8F%8F%E5%99%A8v1_2.html Wed, 09 Aug 2017 15:31:21 +0800 /2017/08/09/%E6%B2%B3%E9%A9%ACwebshell%E6%89%AB%E6%8F%8F%E5%99%A8v1_2.html 河马WEBSHELL扫描器1.2 更新日志 开发了windows版的图形界面 查杀引擎升级到1.2 支持自定义过扩展名白名单 升级查杀规则，增强了查杀效果，降低误报 使用新云查杀接口，速度更快 windows使用教程 下载安装 访问官网 或者点此直接下载 解压缩zip文件 双击安装程序进行安装 扫描 点击立即扫描选择要扫描的目录 支持选择多个目录 单击开始扫描按钮 处理结果 扫描完成后处理WEBSHELL FAQ: 如果发现扫描失败的提醒请联系我们的技术人员 联系我们 如果您在使用中遇到什么问题或者有什么建议欢迎联系我们 QQ: 1494922137 EMAIL: service@shellpub.com /2017/08/03/asp_off-site-landing-warning.html Thu, 03 Aug 2017 10:01:17 +0800 /2017/08/03/asp_off-site-landing-warning.html 目的 限制同一账号多IP登录 原理 前端不断发送Ajax请求后端ASP，每隔几秒钟更新一次登陆请求。 后端记录登陆IP和最后登录时间。 如发现登录IP与最后登录IP不同，则登陆失败。 为了防止请求被缓存, 在请求中加随机数。 需要注意的是NAT环境下（网吧或者企业学校等公用出口）, 使用这个代码会导致其他用户登陆失败 代码 ajax_update.js //author :x@shellpub.com //website:www.shellpub.com function makeRequest() { var guid = rnd(); //记住给个随机数，不然的话有缓存 var url = "updateLogin.asp"; createXMLHttpRequest(); xmlHttp.onreadystatechange = handleRefresh; xmlHttp.open("GET", url, false); xmlHttp.send(null); } //创建xmlHttp var xmlHttp; function createXMLHttpRequest() { if (window.ActiveXObject) { xmlHttp = new ActiveXObject("Microsoft.XMLHTTP"); } else if (window.XMLHttpRequest) { xmlHttp = new XMLHttpRequest(); } } //返回信息 function handleRefresh() { if (xmlHttp.readyState == 4) { if (xmlHttp. /2017/07/13/domainblock_alert.html Thu, 13 Jul 2017 15:31:21 +0800 /2017/07/13/domainblock_alert.html 紧急公告 http://webhsell.pub 后门查杀，域名无法在国内备案（管局不支持.PUB）,现已准备全面迁移到http://shellpub.com 更新 2017-07-13 17:00 云查杀功能 已经恢复 目前已经恢复全部功能，有任何问题欢迎随时反馈 2017-07-13 15:40 经过技术人员的紧急抢修目前http://n.webshell.pub已经恢复 已使用国外CDN通过301跳转到http://n.shellpub.com 部分地区可能需要等本地DNS更新，一般在24小时之内完成 云查杀功能还在紧急抢修当中 影响范围: 部分地区无法打开 n.webshell.pub 在线查杀 河马扫描器云查杀功能无法使用 导致有部分漏报 http://www.webshell.pub 使用国外CDN，不受影响 /2017/05/03/wordpress_core_remote_code_excute.html Wed, 03 May 2017 13:46:17 +0800 /2017/05/03/wordpress_core_remote_code_excute.html 漏洞预警-WordPress Core远程代码执行(无需验证和插件) 2017年5月1日，WordPress 4.6版本被曝出远程代码执行（RCE）漏洞，国外legalhackers发布该漏洞利用视频，从被曝出的视频中可以看到该漏洞在不需要验证，同时不需要安装任何插件即可获取反弹的shell。北京时间2017年5月4日，legalhackers发布了相关漏洞利用代码。 WordPress是一款由PHP语言开发的内容管理系统（CMS）系统。是当今最流行的cms，很适合二次开发，使用量超过百万。潜在影响范围广泛，请大家在官方补丁出来之前，提早做好防范。以免带来不必要的麻烦。 google搜索Wordpress的结果 我们将持续关注此漏洞 漏洞详情与PoC 该漏洞主要是由于使用了存在漏洞的PHPMailer，导致存在远程代码执行漏洞。 #!/bin/bash # # __ __ __ __ __ # / / ___ ____ _____ _/ / / / / /___ ______/ /_____ __________ # / / / _ \/ __ `/ __ `/ / / /_/ / __ `/ ___/ //_/ _ \/ ___/ ___/ # / /___/ __/ /_/ / /_/ / / / __ / /_/ / /__/ ,< / __/ / (__ ) # /_____/\___/\__, /\__,_/_/ /_/ /_/\__,_/\___/_/|_|\___/_/ /____/ # /____/ # # # WordPress 4. /post/1/ Sun, 19 Mar 2017 10:44:50 +0800 /post/1/ ##webshell.pub 第一篇博文 #关于我们 WEBSHELL.PUB 团队成员来自国内顶尖安全团队，专注webshell查杀研究。拥有海量webshell样本和自主查杀技术，采用传统特征+云端大数据双引擎的查杀技术。查杀速度快、精度高、误报低。 /about/ Wed, 09 Apr 2014 00:00:00 +0000 /about/ 关于我们 shellpub.pub 团队成员来自国内顶尖安全团队，专注webshell查杀研究。拥有海量webshell样本和自主查杀技术，采用传统特征+云端大数据双引擎的查杀技术。查杀速度快、精度高、误报低。 Thanks for reading! /contact/ Wed, 09 Apr 2014 00:00:00 +0000 /contact/ 联系我们 QQ:1494922137 service@shellpub.com 京ICP备16011091号-4 /official/ Wed, 09 Apr 2014 00:00:00 +0000 /official/ 联系我们 QQ:1494922137 webshell.pub@gmail.com 京ICP备16011091号-4 /post/asus_vul/ Mon, 01 Jan 0001 00:00:00 +0000 /post/asus_vul/ 背景 ​2020年08月03日，国内安全厂商极光无线发布了《漏洞公告 | 华硕(ASUS)家庭无线路由器远程代码执行0day》的风险通告。 风险等级 高危 ​ 漏洞详情 未经过身份验证的远程攻击者通过发送特制数据包到华硕路由器的WEB组件中，可以在路由器上以 ROOT（最高权限）执行任意代码。 影响版本： RT-AC68U RT-AC3100 RT-AC88U RT-AC5300 RT-AC3200 ​修复建议 通过​禁止通过互联网访问路由器后台可以阻断远程攻击 增加WIFI密码复杂性，防止通过本地局域网攻击 开启固件自动更新，及时安装官方最新固件 据河马安全团队分析，使用第三方估计梅林、koolshare、官改固件依然可能存在该漏洞，请用户务必慎重！ 参考链接 <漏洞公告 | 华硕(ASUS)家庭无线路由器远程代码执行0day> https://cert.360.cn/warning/detail?id=81fd25539ed87e395f360e9094196da4 /post/html/ Mon, 01 Jan 0001 00:00:00 +0000 /post/html/ html <html> <body background=""></body> <p>段落 <h1>-<h6> 六级标题 <a>链接 <img /> <br /> <hr /> 标签在 HTML 页面中创建水平线 <table> <!-- This is a comment --> 浏览器会移除源代码中多余的空格和空行 html文本格式化 <b> <strong> <big> <em> <i> <small> <sub> <sup> <pre> <code> <kbd> <samp> <var> <tt> <address> <abbr> <dfn> <acronym> <bdo dir="rtl"> <blockquote> <q> <del> <s> <ins> <strike> <cite> html元素 HTML 元素指的是从开始标签（start tag）到结束标签（end tag）的所有代码。 HTML 元素以开始标签起始 HTML 元素以结束标签终止 元素的内容是开始标签与结束标签之间的内容 某些 HTML 元素具有空内容（empty content） 空元素在开始标签中进行关闭（以开始标签的结束而结束） 大多数 HTML 元素可拥有属性 HTML 属性 HTML 标签可以拥有属性。属性提供了有关 HTML 元素的更多的信息。