利用Confluence漏洞攻击的WebShell,河马已支持查杀

端午佳节,笔者注意到国外媒体发了《Zero-Day Exploitation of Atlassian Confluence》的分析文章。其中公开了WebShell攻击样本,攻击者在成功利用Conflunce Server系统之后,立即植入了冰蝎(Behinder)内存马,接着上传了两个WebShell。

 

 

 

 

 

关于 Confluence

 

Confluence是一个专业的企业知识管理与协同软件,我们常说的Confluence jira、wiki均是其旗下产品。产品分为标准版和企业版,前者免费,可以自由搭建,后者为付费商业增值服务。Confluence 已经在超过100个国家,13500个组织中成功地应用于企业内网平台、知识管理及文档管理,涉及财富1000企业、政府机构、教育机构、财务金融机构及技术研究领域。

 

 

 

 

 

WebShell样本分析

 

样本1

 

FileName

 

noop.jsp

 

FieSize

 

537

 

MD5

 

f8df4dd46f02dc86d37d46cf4793e036

 

SHA1

 

4c02c3a150de6b70d6fca584c29888202cc1deef

 

样本1为文件上传小马,攻击者利用小马可以进一步上传大马和其他后门。

 

 

 

样本2

 

FileName

 

.jsp

 

FieSize

 

8624

 

MD5

 

ea18fb65d92e1f0671f23372bacf60e7

 

SHA1

 

80b327ec19c7d14cc10511060ed3a4abffc821af

 

样本2为修改后的菜刀JSP后门,在github公开的仓库已收录。

 

 

 

注: 菜刀即中国菜刀是常见WebShell管理工具,常见的管理工具还有蚁剑 (AntSword)、冰蝎 (Behinder) 、Weevely等。

 

 

 

当前这两个样本河马在线查杀和客户端均可以检出。

 

河马的内存马专杀攻击亦可检出冰蝎内存马。

 

在线查杀:

 

图片

 

 

 

河马客户端:

 

图片

 

 

 

关于内存马检测,笔者在这里做一个预告:

 

河马Linux版内存马检测工具:支持各类Java内存马检测

 

河马Windows版内存马检测工具:既支持.Net内存马,也支持Java内存马检测

 

 

 

目前均在内测阶段,稍后放出,请大家关注我们。

 

 

 

 

 

修复建议

 

Confluence类产品多数应用场景为企业内部办公协同,建议放在内网;

 

即时更新Conflunce;

 

务必扫描Conflunce目录下是否存在WebShell, 推荐使用河马在线查杀https://n.shellpub.com。

 

 

 

 

 

联系我们

 

关于WebShell检测、河马在线查杀、河马客户端疑问欢迎随时联系我们。

 

祝大家端午安康!

 

QQ交流群:971146821

 

 

 

 

 

图片

 

 

 

点击下方名片,关注我们

 

如果不想错过消息,可以星标 图片

 

 

这里是河马

SHELLPUB专注查杀,让世界不再受WEBSELL困扰

20篇原创内容

公众号

 

 

点击“阅读原文”,立即体验河马在线查杀

 

↙↙↙

 

阅读原文

本文来自投稿,不代表安强科技社区立场,如若转载,请注明出处:https://community.anqiangkj.com/archives/17270

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022年6月4日 下午6:48
下一篇 2022年6月5日 下午12:10

相关推荐