河马查杀1.8.2 发布
下载地址 windows版下载
linux64位下载
linux32位下载
Linux版使用教程
windows版使用教程
功能更新 本次更新
新增规则,支持检测冰蝎3.0(Behinder) 新增规则,支持检测哥斯拉(godzllia) 优化yii2检测效果,去掉一些疑似文件 如何使用深度模式 深度解码模式命令格式为hm deepscan <target dir>
下面动图演示了linux系统下先用scan模式进行扫描,接着使用deepscan进行扫描 windows下可以在开始扫描按钮左侧勾选深度模式来决定是否启用深度解码器 已知问题 不支持内核2.6.18以下版本(即centos5系统默认内核版本)且无支持计划 兼容性测试 | OS | kernel | version | arch | result | |------------|-----------------|---------|------|-------- | windows | - | >=2003 | 32/64| OK | | CentOS | >=2.6.32 | >=6 | | OK | | CentOS | <2.6.32 | < 6 | 32/64| 不支持 | | Ubuntu | - | - | | OK | | Kali | - | 2.
河马查杀1.8.1 发布
下载地址 windows版下载
linux64位下载
linux32位下载
Linux版使用教程
windows版使用教程
功能更新 本次更新
新增规则,支持nginx后门检测 优化一条疑似规则降低误报 不再支持从1.4.2之前版本升级到最新版,请手动下载到最新版 如何使用深度模式 深度解码模式命令格式为hm deepscan <target dir>
下面动图演示了linux系统下先用scan模式进行扫描,接着使用deepscan进行扫描 windows下可以在开始扫描按钮左侧勾选深度模式来决定是否启用深度解码器 BUG修正 修正云查杀接口BUG,降低误报 已知问题 不支持内核2.6.18以下版本(即centos5系统默认内核版本)且无支持计划 兼容性测试 | OS | kernel | version | arch | result | |------------|-----------------|---------|------|-------- | windows | - | >=2003 | 32/64| OK | | CentOS | >=2.6.32 | >=6 | | OK | | CentOS | <2.6.32 | < 6 | 32/64| 不支持 | | Ubuntu | - | - | | OK | | Kali | - | 2.
Windows DNS Server “蠕虫级”漏洞通知,请马上升级 某些情形下,企业DNS Server和域控处于内网同一台服务器中,SIGRed漏洞影响的组件dns.exe是以System权限运行,目前网络上已有PoC公开,建议用户尽快升级,避免由于该漏洞导致域控沦陷。
简介 微软公司在本月的安全补丁推送中修复了一个长达17年的“蠕虫级”漏洞。据国外研究机构checkpoint描述成功利用SIGRed漏洞可以达到远程提权的效果。其影响几乎市面上主流的所有Windows Server版本(Windows Server 2008 、2012、2016、2019以及之后的Windows Server, version 1903、1909、2004)。目前网络已经有公开的dns拒绝服务PoC代码,请务必重视!
漏洞原理简述 在Windows系统中,DNS客户端主要实现在dnsspi.dll中,而DNS服务端是由dns.exe负责响应和处理请求。而SIGRed漏洞就发生在dns.exe!SigWireRead函数。
可以看到RR_AllocateEx分配内存是通过16位寄存器cx,如果我们这里可以控制其第一个参数大于0xffff,那么就会产生整数溢出,紧接会触发到后面的memcpy导致崩溃。
触发漏洞 引用checkpoint的研究,利用DNS Pointer Compression。这里主要是一种类似指针指向的压缩编码方式。
c00c其中0xc0是引用这个packet内部值的标识。0x0c是基于dns header偏移位置,这里指向 () chain。也就是下图划线的部分。其中08是size,research是value。如果我们修改0x0c为0x0d,那么size就变成0x72,这就是导致unCompression数据长度发生变化,触发整数溢出。
处置建议 升级微软官方最新补丁
临时处置建议
通过设置注册表临时缓解,然后重启dns服务
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters DWORD = TcpReceivePacketSize Value = 0xFF00 如之后升级补丁,删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters即可。
参考 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350
https://research.checkpoint.com/2020/resolving-your-way-into-domain-admin-exploiting-a-17-year-old-bug-in-windows-dns-servers/
关注我们
河马查杀1.8.0 发布[抽奖活动见文章末尾]
下载地址 windows版下载
linux64位下载
linux32位下载
Linux版使用教程
windows版使用教程
功能更新 本次更新集成PHP深度解码器,PHP深度解码在1.6.x时代完成初步开发,集成于在线查杀,经过几个版本的迭代,正式将PHP深度解码器下放到本地客户端,在使用深度解码器(deepscan)的情况下查杀速度较慢,建议先用常规模式(scan)进行快速查杀,再用深度查杀进行精准差查杀。 另外:全新的查杀引擎2.0的研发工作已经启动,敬请关注!
集成深度PHP解码器,增强PHP类webshell检测能力 linux系统支持扫描 /srv 目录, /srv 在之前的版本作为系统白名单目录被忽略 支持检测冰蝎v2.0.1后门 增加4条php文件检测规则,2条疑似文件检测规则 增加1条jsp疑似文件检测规则 如何使用深度模式 深度解码模式命令格式为hm deepscan <target dir>
下面动图演示了linux系统下先用scan模式进行扫描,接着使用deepscan进行扫描 windows下可以在开始扫描按钮左侧勾选深度模式来决定是否启用深度解码器 BUG修正 修复1.7.x版本遇到大文件后扫描缓慢的问题 已知问题 不支持内核2.6.18以下版本(即centos5系统默认内核版本)且无支持计划 兼容性测试 | OS | kernel | version | arch | result | |------------|-----------------|---------|------|-------- | windows | - | >=2003 | 32/64| OK | | CentOS | >=2.6.32 | >=6 | | OK | | CentOS | <2.
windows使用教程 下载安装
访问官网 或者点此直接下载
解压缩zip文件
双击安装程序进行安装
扫描
点击立即扫描选择要扫描的目录
支持选择多个目录
单击开始扫描按钮
使用深度解码器进行深度扫描
处理结果
扫描完成后处理WEBSHELL
FAQ:
如果发现扫描失败的提醒请联系我们的技术人员
关注我们
联系我们 如果您在使用中遇到什么问题或者有什么建议欢迎联系我们
QQ: 1494922137
EMAIL: service@shellpub.com
河马查杀1.7.1 发布
下载地址 windows版下载
linux64位下载
linux32位下载
Linux版使用教程
windows版使用教程
功能更新 本次更新为修复性更新,可以通过命令hm update升级到最新版或者在官网下载最新版
BUG修正 修复1.7.0版引入的扫描大文件时引发的OOM问题 已知问题 不支持内核2.6.18以下版本(即centos5系统默认内核版本)且无支持计划 兼容性测试 | OS | kernel | version | arch | result | |------------|-----------------|---------|------|-------- | windows | - | >=2003 | 32/64| OK | | CentOS | >=2.6.32 | >=6 | | OK | | CentOS | <2.6.32 | < 6 | 32/64| 不支持 | | Ubuntu | - | - | | OK | | Kali | - | 2.
安全通告 Saltstack 定位是自动化运维工具,运维工具一旦出现漏洞危害影响较大。同类型的运维工具还有ansible,puppet,Chef
国外安全团体F-Secure报告了两个Saltstack漏洞
包含两个CVE
CVE-2020-11651 水平权限绕过漏洞 CVE-2020-11652 任意文件读写漏洞 通过对这两个漏洞的利用可以实现RCE的效果,在控制salt-master之后,通过salt大面积控制在运维系统下的主机
关于saltstack SaltStack是基于Python开发的一套C/S架构配置管理工具,是一个服务器基础架构集中化管理平台,具备配置管理、远程执行、监控等功能,基于Python语言实现,结合轻量级消息队列(ZeroMQ)与Python第三方模块(Pyzmq、PyCrypto、Pyjinjia2、python-msgpack和PyYAML等)构建。
影响范围 SaltStack < 2019.2.4 SaltStack < 3000.2
问题排查 1.查看进程ps -ef|grep salt 如图所示为阿里云中某机器中招后截图,其中三个salt相关进程。 alicloud-salt-minion 为官方进程 /tmp/salt-minions 为挖矿样本
md5sum /tmp/salt-minions 计算挖矿样本hash为
目前已知恶意hash如下: - a28ded80d7ab5c69d6ccde4602eef861 - 8ec3385e20d6d9a88bc95831783beaeb - 2c5cbc18d1796fd64f377c43175e79a3 - dc5b2fa7f85aa0bbd226afe3b5fcaeea - defc9efd1b430aea797e573922fa49ae
file命令查看文件类型,挖矿进程为elf文件 正常文件为python脚本文件 2.检查网路链接netstat -anp|grep tcp|grep ESTABLISHED 如图所示,排除掉本地连接、排除掉入向链接,观察外连进程状态。
已知挖矿主机远程IP如下: - 217.12.210.192 - 206.189.92.32
3.阿里云安全面板通知 如果您使用的阿里云,可以在安全面板上看到如图类似告警,请注意关注安全告警
4.其他行为 目前发现该挖矿程序会关闭cpu占用较高的进程,在系统日志里可以查看到kill记录grep -r "kill" /var/log/messages*
也会关闭docker中的其他挖矿程序
修复建议 建议重装系统,因为salt进程权限为root权限,理论上被黑后,黑客拥有任意权限,可能种入隐藏后门。如果暂时无法重装系统可以使用阿里云提供的一键清理脚本curl https://ageis-check.oss-cn-hangzhou.aliyuncs.com/salt_miner_clean.sh | /bin/bash 升级到安全版本 2019.
河马查杀1.7.0 发布
下载地址 windows版下载
linux64位下载
linux32位下载
Linux版使用教程
windows版使用教程
功能更新 增强大马查杀,修复292个大马绕过; 移除了挖矿检测功能,关于挖矿检测我们后续会推出专门的检测程序; 增强云查杀,本特性会导致扫描速度下降;但是可以快速增强检测能力,只需要在云端增强就可以提高本地的检出能力,而用户无需更新应用版本; 使用了新的汉化(多语言)机制,目前在支持中文的系统下尽量显示中文;目前本产品大多数用户国内用户;linux支持通过环境变量HM_LANG来修改输出语言,参考下方常见问题8 使用了最新的编译器进行编译 BUG修正 修复1.6.0对glibc版本要求过高的BUG 已知问题 不支持内核2.6.18以下版本(即centos5系统默认内核版本)且无支持计划 兼容性测试 | OS | kernel | version | arch | result | |------------|-----------------|---------|------|-------- | windows | - | >=2003 | 32/64| OK | | CentOS | >=2.6.32 | >=6 | | OK | | CentOS | <2.6.32 | < 6 | 32/64| 不支持 | | Ubuntu | - | - | | OK | | Kali | - | 2.
河马查杀1.6.0 发布
下载地址 windows版下载
linux64位下载
linux32位下载
Linux版使用教程
windows版使用教程
功能更新 新增hmdocker –docker版的查杀,以适配更多的linux发行版 重写了asp解码,取消跨语言调用;这个特性会导致扫描asp文件速度变慢,但可以检出更多的asp类webshell 增加jar文件检测,检测方法同war文件; 如果您不需要检测jar文件,可以在hm.yml中忽略jar文件 适配Kali系统 新增规则 支持检测phpstudy DLL后门 BUG修正 修复扫描文件时指定输出路径(-output参数)无效的BUG 已知问题 不支持内核2.6.18以下版本(即centos5系统默认内核版本)且无支持计划 兼容性测试 | OS | kernel | version | arch | result | |------------|-----------------|---------|------|-------- | windows | - | >=2003 | 32/64| OK | | CentOS | >=2.6.18 | >=5 | | OK | | CentOS | <2.6.18 | < 5 | 32/64| 不支持 | | Ubuntu | - | - | | OK | | Kali | - | 2.
CVE-2019-0708漏洞预警及修复建议 附POC
漏洞概述 2019年5月14日,微软发布阅读安全更新,其中包含一个RDP(远程桌面3389)远程代码执行的漏洞安全补丁。该漏洞用允许攻击者利用对外开放的RDP服务直接入侵系统,远程执行代码。
受影响的系统 Windows 7 Windows Server 2008 R2 Windows Server 2008 Windows XP Windows 2003 修复建议 如果您使用的是桌面版的系统,如飞必要,请关闭远程桌面功能 如果是服务器版本,请尽快安装windows漏洞补丁 打开操作系统的自动更新功能 使用杀毒软件 补丁下载地址 windows 7 x64 补丁下载 windows 7 x86 补丁下载 Windows Server 2008 x86 补丁下载 Windows Server 2008 x64 补丁下载 Windows Server 2008 R2 Itanium 补丁下载 Windows Server 2008 R2 x64 Windows Server 2008 Itanium Windows Server 2003 x86 Windows Server 2003 x64 Windows XP SP3 x86 Windows XP SP2 x64 Windows XP SP3 for XPe 备注:x64 表示64位操作系统, x86 表示32位系统