利用Confluence漏洞攻击的WebShell,河马已支持查杀
2022-6-3 16:28:42 Author: mp.weixin.qq.com(查看原文) 阅读量:25 收藏

端午佳节,笔者注意到国外媒体发了《Zero-Day Exploitation of Atlassian Confluence》的分析文章。其中公开了WebShell攻击样本,攻击者在成功利用Conflunce Server系统之后,立即植入了冰蝎(Behinder)内存马,接着上传了两个WebShell。

关于 Confluence


Confluence是一个专业的企业知识管理与协同软件,我们常说的Confluence jira、wiki均是其旗下产品。产品分为标准版和企业版,前者免费,可以自由搭建,后者为付费商业增值服务。Confluence 已经在超过100个国家,13500个组织中成功地应用于企业内网平台、知识管理及文档管理,涉及财富1000企业、政府机构、教育机构、财务金融机构及技术研究领域。

WebShell样本分析


样本1

FileName

noop.jsp

FieSize

537

MD5

f8df4dd46f02dc86d37d46cf4793e036

SHA1

4c02c3a150de6b70d6fca584c29888202cc1deef

样本1为文件上传小马,攻击者利用小马可以进一步上传大马和其他后门。

样本2

FileName

.jsp

FieSize

8624

MD5

ea18fb65d92e1f0671f23372bacf60e7

SHA1

80b327ec19c7d14cc10511060ed3a4abffc821af

样本2为修改后的菜刀JSP后门,在github公开的仓库已收录。

注: 菜刀即中国菜刀是常见WebShell管理工具,常见的管理工具还有蚁剑 (AntSword)、冰蝎 (Behinder) 、Weevely等。

当前这两个样本河马在线查杀和客户端均可以检出。

河马的内存马专杀攻击亦可检出冰蝎内存马。

  • 在线查杀:

  • 河马客户端:

关于内存马检测,笔者在这里做一个预告:

  • 河马Linux版内存马检测工具:支持各类Java内存检测

  • 河马Windows版内存马检测工具:既支持.Net内存马,也支持Java内存马检测

目前均在内测阶段,稍后放出,请大家关注我们。

修复建议


  1. Confluence类产品多数应用场景为企业内部办公协同,建议放在内网;

  2. 即时更新Conflunce;

  3. 务必扫描Conflunce目录下是否存在WebShell, 推荐使用河马在线查杀https://n.shellpub.com。

联系我们


关于WebShell检测、河马在线查杀、河马客户端疑问欢迎随时联系我们。

祝大家端午安康!

QQ交流群:971146821

点击下方名片,关注我们

如果不想错过消息,可以星标  

点击“阅读原文”,立即体验河马在线查杀


文章来源: https://mp.weixin.qq.com/s?__biz=MzkzNDE2NzAyMg==&mid=2247484116&idx=1&sn=1a207cee0ae8d34faecac29db53b8865&chksm=c2402a55f537a343fbe27e0d86064f2011fa8a6a6711549db1c43f5eb56b038c328ef988e7a1&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh