SHELLPUB BLOG

专注webshell查杀

河马WEBSHELL扫描器1.3.2发布

河马查杀1.3.2 发布 近期不少用户反馈扫描时异常崩溃,我们调试后发现在获取版本失败导致的此问题,这个版本主要是修复这个BUG。 今日冬至,大家大吉大利,晚上吃鸡和饺子! 下载地址 windows版下载 linux64位下载 linux32位下载 功能更新 增加反馈页面 BUG修正 修正版本号获取失败时界面崩溃的BUG 优化 之前版本CGO DNS请求需要配置环境变量,这个版本直接集成到软件之中了 UI首页增加官方QQ,方便客户即时沟通 常见问题 扫描失败,或者扫描文件数目为0 软件限制了一些目录,例如Linux系统下/proc/目录文件不做检测,windows下C:/windows目录等 扫描时崩溃 请检查您使用的软件版本和操作系统版本是否匹配 最常见导致崩溃的就是系统cgo兼容新问题,解决办法参考#已知问题 没有找到可执行的文件 请检查是否配置了环境变量或者使用./hm的方式来运行程序 如何配置扩展名白名单 在软件目录下有hm.yml文件,按照默认格式添加不需要被扫描的文件类型的扩展名 jpg,png,gif不建议添加,有一类后门是隐藏在图片之中的。 如何查看扫描结果 扫描结果在扫描结束之后会保存到软件目录下的result.csv文件中,windows版可以在界面上直接查看结果 如何实现定时扫描 linux利用系统crontab,在crontab中添加定时扫描任务。 如果安装了旧版软件是否能够自动更新 linux环境下您可以在软件所在目录执行`hm update`命令,软件会自动升级到最新版本 如果在使用过程中遇到问题,可以在本文下面留言或加QQ:1494922137

河马WEBSHELL扫描器1.3.1发布

下载地址 windows版下载 linux64位下载 linux32位下载 功能更新 增加一条绕过规则 增加了门罗币挖矿脚本检测 支持离线模式下深度查杀 BUG修正 修正某些特殊文件路径无法检测的BUG 修正了一个中英文翻译显示不正确的BUG 优化 优化了文件包含类后门检测 优化白名单,允许扫描linux /mnt目录,windows桌面目录 已知问题 在部分linux系统(ubuntu等)DNS由于cgo自身问题(参考链接https://yq.aliyun.com/articles/238940)导致发请求时崩溃, 解决办法 在环境变量中加入 export GODEBUG=netdns=go 常见问题 扫描失败,或者扫描文件书目为0 软件限制了一些目录,例如Linux系统下/proc/目录文件不做检测,windows下C:/windows目录等 扫描时崩溃 请检查您使用的软件版本和操作系统版本是否匹配 最常见导致崩溃的就是系统cgo兼容新问题,解决办法参考#已知问题 没有找到可执行的文件 请检查是否配置了环境变量或者使用./hm的方式来运行程序 如何配置扩展名白名单 在软件目录下有hm.yml文件,按照默认格式添加不需要被扫描的文件类型的扩展名 jpg,png,gif不建议添加,有一类后门是隐藏在图片之中的。 如何查看扫描结果 扫描结果在扫描结束之后会保存到软件目录下的result.csv文件中,windows版可以在界面上直接查看结果 如何实现定时扫描 linux利用系统crontab,在crontab中添加定时扫描任务。 如果安装了旧版软件是否能够自动更新 linux环境下您可以在软件所在目录执行`hm update`命令,软件会自动升级到最新版本 如果在使用过程中遇到问题,可以在本文下面留言或添加QQ:1494922137

河马下载地址修复公告

河马WEBSHELL扫描软件下载修复公告 河马WEBSHELL扫描器软件下载原来是托管在GITHUB上的; 因19大召开,部分用户出现无法正常下载或者下载缓慢的现象。现已将国内的用户下载从GITHUB修改到独立的线路上了,给您带来的不便,敬请原谅。 WINDOWS版下载 Linux 64位版下载 Linux 32位版下载

河马-利用机器学习检测WEBSHELL

河马-利用机器学习检测WEBSHELL 1. START 近些年机器学习火的一塌糊涂,机器学习、人工智能、深度学习、数据挖掘这些词汇耳熟能详。这些术语的背后是数学、统计学、计算机科学等多门学科的融合。利用这些技术使计算机具有归纳总结等学习能力来服务人类。 2. DO 借着这个国庆+中秋双节8天假日,做了一个简单的demo,算是河马安全在机器学习上第一次尝试。 查杀传送门 http://ml.shellpub.com 界面效果 区分一个文件是否是WEBSHELL是一个典型的分类过程,属于监督学习 有多种分类算法可选,尝试了K邻近、贝叶斯、决策树、逻辑回归几种方法。在我的实验条件下,使用决策树算法效果比较好。试验中使用4000个黑样本,2000个白样本(来自开源CMS)最终结果如下: 准确率:0.97 召回率:0.9687 监督学习训练结果受训练样本集、分类特征值、数学模型等多种因素影响。 机器学习查杀引擎目前处于试验阶段,结果仅供参考,建议移步正式版或者下载客户端 3. NEXT TODO 目前白样本的误报还有点高,收集更多的白样本加入到训练集中 改进feature,使之有更好的效果 ## 各位请轻拍砖 如有任何建议意见请留言或者直接联系我们,请继续关注 QQ:1494922137 service@shellpub.com

XSHELL多版本存在后门

安全通告–终端软件XSHELL多版本存在后门 据360安全客与360CERT消息,知名linux终端软件XSHELL存在后门,而且是官方版本。包括XSHELL软件单体和其安装套件Xmanager. XSHELL是一个强大的安全终端模拟软件,它支持SSH1, SSH2, 以及Microsoft Windows 平台的TELNET 协议。详细介绍请看这里 存在后门的版本 Xshell Build 5.0.1322 Xshell Build 5.0.1325 Xmanager Enterprise 5.0 Build 1232 Xmanager 5.0 Build 1045 Xftp 5.0 Build 1218 Xftp 5.0 Build 1221 Xlpd 5.0 Build 1220 修复建议 建议用户使用以下步骤进行修复 升级XSHELL及其套件到最新版本 修改linux服务器系统密码;在可能的情况下使用key+passphrase, 如果您不熟悉这个操作,请查看教程 参考 消息原文: http://bobao.360.cn/news/detail/4263.html linux 禁止帐号密码验证 使用key验证方式登录SSH: http://blog.csdn.net/zhi_heart/article/details/48656467

河马WEBSHELL扫描器1.2发布

河马WEBSHELL扫描器1.2 更新日志 开发了windows版的图形界面 查杀引擎升级到1.2 支持自定义过扩展名白名单 升级查杀规则,增强了查杀效果,降低误报 使用新云查杀接口,速度更快 windows使用教程 下载安装 访问官网 或者点此直接下载 解压缩zip文件 双击安装程序进行安装 扫描 点击立即扫描选择要扫描的目录 支持选择多个目录 单击开始扫描按钮 处理结果 扫描完成后处理WEBSHELL FAQ: 如果发现扫描失败的提醒请联系我们的技术人员 联系我们 如果您在使用中遇到什么问题或者有什么建议欢迎联系我们 QQ: 1494922137 EMAIL: service@shellpub.com

asp 限制多IP登录

目的 限制同一账号多IP登录 原理 前端不断发送Ajax请求后端ASP,每隔几秒钟更新一次登陆请求。 后端记录登陆IP和最后登录时间。 如发现登录IP与最后登录IP不同,则登陆失败。 为了防止请求被缓存, 在请求中加随机数。 需要注意的是NAT环境下(网吧或者企业学校等公用出口), 使用这个代码会导致其他用户登陆失败 代码 ajax_update.js //author :x@shellpub.com //website:www.shellpub.com function makeRequest() { var guid = rnd(); //记住给个随机数,不然的话有缓存 var url = "updateLogin.asp"; createXMLHttpRequest(); xmlHttp.onreadystatechange = handleRefresh; xmlHttp.open("GET", url, false); xmlHttp.send(null); } //创建xmlHttp var xmlHttp; function createXMLHttpRequest() { if (window.ActiveXObject) { xmlHttp = new ActiveXObject("Microsoft.XMLHTTP"); } else if (window.XMLHttpRequest) { xmlHttp = new XMLHttpRequest(); } } //返回信息 function handleRefresh() { if (xmlHttp.readyState == 4) { if (xmlHttp.

更换域名 紧急通告

紧急公告 http://webhsell.pub 后门查杀,域名无法在国内备案(管局不支持.PUB),现已准备全面迁移到http://shellpub.com 更新 2017-07-13 17:00 云查杀功能 已经恢复 目前已经恢复全部功能,有任何问题欢迎随时反馈 2017-07-13 15:40 经过技术人员的紧急抢修目前http://n.webshell.pub已经恢复 已使用国外CDN通过301跳转到http://n.shellpub.com 部分地区可能需要等本地DNS更新,一般在24小时之内完成 云查杀功能还在紧急抢修当中 影响范围: 部分地区无法打开 n.webshell.pub 在线查杀 河马扫描器云查杀功能无法使用 导致有部分漏报 http://www.webshell.pub 使用国外CDN,不受影响

漏洞预警-WordPress Core远程代码执行

漏洞预警-WordPress Core远程代码执行(无需验证和插件) 2017年5月1日,WordPress 4.6版本被曝出远程代码执行(RCE)漏洞,国外legalhackers发布该漏洞利用视频,从被曝出的视频中可以看到该漏洞在不需要验证,同时不需要安装任何插件即可获取反弹的shell。北京时间2017年5月4日,legalhackers发布了相关漏洞利用代码。 WordPress是一款由PHP语言开发的内容管理系统(CMS)系统。是当今最流行的cms,很适合二次开发,使用量超过百万。潜在影响范围广泛,请大家在官方补丁出来之前,提早做好防范。以免带来不必要的麻烦。 google搜索Wordpress的结果 我们将持续关注此漏洞 漏洞详情与PoC 该漏洞主要是由于使用了存在漏洞的PHPMailer,导致存在远程代码执行漏洞。 #!/bin/bash # # __ __ __ __ __ # / / ___ ____ _____ _/ / / / / /___ ______/ /_____ __________ # / / / _ \/ __ `/ __ `/ / / /_/ / __ `/ ___/ //_/ _ \/ ___/ ___/ # / /___/ __/ /_/ / /_/ / / / __ / /_/ / /__/ ,< / __/ / (__ ) # /_____/\___/\__, /\__,_/_/ /_/ /_/\__,_/\___/_/|_|\___/_/ /____/ # /____/ # # # WordPress 4.

1

##webshell.pub 第一篇博文 #关于我们 WEBSHELL.PUB 团队成员来自国内顶尖安全团队,专注webshell查杀研究。拥有海量webshell样本和自主查杀技术,采用传统特征+云端大数据双引擎的查杀技术。查杀速度快、精度高、误报低。