挖矿病毒之CVE-2021-26084入侵confluence

最新推荐文章于 2024-04-05 07:46:42 发布
最新推荐文章于 2024-04-05 07:46:42 发布
阅读量4.7k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 应急响应 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zy15667076526/article/details/130991863
文章描述了一次针对Jira系统的远程代码执行尝试,攻击者利用了CVE-2021-26084漏洞。尽管大部分情况下被火绒安全软件拦截,但云安全中心仍检测到一些活动。作者发现并清除了两个webshell,建议更新Confluence的补丁以增强安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

晚上20:18,发现云安全中心有一条告警

在这里插入图片描述

查看详情,发现是针对Jira系统的,首次发生时间在去年,看来是个“惯犯”了
在这里插入图片描述

执行的是一段cmd,还是通过jira的confluence进行远程代码执行的
在这里插入图片描述
在这里插入图片描述

奇怪哦,我就记得我是装过火绒的,怎么还能被云安全中心监测到?
分析后,类似的执行结果都是失败,只是偶尔一两次云安全中心会在火绒前发现这个命令执行而告警,大部分情况都是火绒先发现拦截了,我推测攻击者的程序也会定期执行利用这个漏洞
在这里插入图片描述

用火绒扫一扫,发现了两个webshell,不过我自己访问倒是访问不到这两个马

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

接着就是查查到底是怎么攻进来的,看了看confluence,是老版本了
试试CVE-2021-26084和CVE-2022-26134,最后CVE-2021-26084是可以利用的

在这里插入图片描述

但是我怎么试,都没有触发火绒的拦截,于是乎用攻击者的挖矿命令试试

在这里插入图片描述

虽然程序报错了,不过火绒已经有显示了,看来攻击者就是没事儿就执行一下,又想免费挖矿了?
在这里插入图片描述

最后,把那两个webshell清理了,再让负责人把confluence的补丁打上就ok了

在这里插入图片描述

CVE-2021-26084——Confluence OGNL 注入漏洞分析
战神/calmness的博客
09-04 2429
简述 2021年08月26日,Atlassian官方发布了Confluence OGNL 注入漏洞的风险通告,漏洞编号为CVE-2021-26084,漏洞等级:严重,漏洞评分:8.8。目前该漏洞安全补丁已更新。 Confluence是Atlassian公司的一个专业的企业知识管理与协同软件,也可以用于构建企业wiki,因此,Confluence的使用面很广。在某些情况下,未授权的攻击者可以构造特殊的请求,造成远程代码执行。 影响版本 组件
Confluence漏洞学习——CVE-2021-26084/85,CVE-2022-26134漏洞复现
记录并分享学习安全的知识点..
07-24 3239
​ Atlassian Confluence是Atlassian公司出品的专业wiki程序。它可以作为一个知识管理的工具,通过它能够实现团队成员之间的协作和知识共享。攻击者在经过身份验证或在特定环境下未经身份验证的情况下,可构造OGNL表达式进行注入,实现在 Confluence Server或Data Center上执行任意代码。 ​.........
CVE-2021-26084confluence
sinat_42420072的博客
01-26 1956
Confluence Server、Confluence Data Center等产品存在OGNL 注入漏洞,允许经过身份验证的用户(在某些情况下的未经身份验证的用户)在 Confluence Server或Confluence Data Center实例上执行任意代码。
CVE-2021-26084confluence),凭借这份网络安全面试题集
最新发布
m0_60666841的博客
04-05 884
命令:cp atlassian-extras-decoder-v2-3.4.1.jar /home/ubontu/atlassian/confluence/confluence/WEB-INF/lib/atlassian-extras-decoder-v2-3.4.1.jar。从服务器上拷贝出文件 /home/ubontu/atlassian/confluence/confluence/WEB-INF/lib/atlassian-extras-decoder-v2-3.4.1.jar (路径同上查找)
Confluence CVE-2021-26084远程代码执行漏洞复现
热门推荐
Websec
09-08 1万+
一、漏洞概述 近日,Atlassian官方发布了ConfluenceServerWebworkOGNL注入漏洞(CVE-2021-26084)的安全公告,远程攻击者在经过身份验证或在特定环境下未经身份验证的情况下,可构造OGNL表达式进行注入,实现在 Confluence Server或Data Center上执行任意代码,CVSS评分为9.8。请相关用户尽快采取措施进行防护。 Atlassian Confluence是Atlassian公司出品的专业wiki程序。它可以作为一个知识管理的工具,...
Confluence 修复 CVE-2021-26084 OGNL注入漏洞
weixin_56306210的博客
06-21 1750
Confluence 修复 CVE-2021-26084 OGNL注入漏洞
通报:Confluence远程代码执行漏洞(CVE-2021-26084)被黑产大规模利用
qcloud_security的博客
09-06 1913
8月26日,Atlassian官方发布公告,披露了一个Atlassian Confluence 远程代码执行漏洞(CVE-2021-26084),攻击者利用漏洞可完全控制服务器。8月31日晚,腾讯云原生安全漏洞检测响应平台通过主机安全(云镜)检测到首个利用该漏洞的在野攻击案例。 腾讯安全旗下全系列企业级产品均已支持检测防御利用Atlassian Confluence远程代码执行漏洞的攻击活动。 腾讯云上安全产品全栈提供针对Confluence远程代码执行漏洞的检测防护能力,政企用户运维人员.
Atlassian Confluence OGNL表达式注入RCE CVE-2021-26084
why811的博客
10-17 2524
参考:https://github.com/httpvoid/writeups/blob/main/Confluence-RCE.md。返回包出现999即可证明ognl表达式成功执行。
Atlassian Confluence OGNL表达式注入代码执行漏洞(CVE-2021-26084
wangqiao258的博客
10-13 3862
环境搭建: 使用vulhub,进入文件夹启动环境: docker-compose up -d 环境启动后,访问http://your-ip:8090即可进入安装向导,参考CVE-2019-3396这个环境中的安装方法,申请试用版许可证。在填写数据库信息的页面,PostgreSQL数据库地址为db,数据库名称confluence,用户名密码均为postgres。 漏洞复现: POST /pages/createpage-entervariables.action HTTP/1.1 Host: 192.168
Atlassian Confluence 远程代码执行漏洞复现(CVE-2021-26084
0xSec
01-17 1759
Atlassian Confluence是Atlassian公司出品的专业wiki程序。它可以作为一个知识管理的工具,通过它能够实现团队成员之间的协作和知识共享。
CVE-2021-26084
weixin_51387754的博客
09-23 2424
Confluence Server 和 Data Center 的受影响版本中,存在 OGNL 注入漏洞,允许未经身份验证的攻击者在 Confluence Server 或数据中心实例上执行任意代码。受影响的版本分别为 6.13.23 之前的版本、7.4.11 之前的 6.14.0 版本、7.11.6 之前的 7.5.0 版本和 7.12.5 之前的 7.12.0 版本。 #!/usr/bin/env python3 # -*- encoding: utf-8 -*- """ @File :
详述近期遭利用的 Atlassian Confluence OGNL 注入漏洞 (CVE-2021-26084)
smellycat000的专栏
10-14 2557
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士趋势科技公司的研究团队详述了CVE-2021-26084 的根因。Atlassian Confluence Server and Dat...
【vulhub】Atlassian Confluence 路径穿越与命令执行漏洞(CVE-2019-3396)复现与反思!
qq_45300786的博客
09-14 652
搭建confluence看这3篇教程,该cve搭建是用Confluence Server, 但是tm就是没有Confluence Server https://www.icode9.com/content-4-915235.html https://blog.csdn.net/weixin_30813225/article/details/99669339 https://www.cnblogs.com/huangxiaosan/p/14290034.html 我这里直接提供key AAABQw0ODAo
confluence挖矿病毒(kdevtmpfsi 、solrd)解决
lin351550660的专栏
01-12 3802
自己安装了conference,没用1周。发现服务器内存被吃完了。 定位问题: 1、之前就听说过confluence 有漏洞 攻击者会利用confluence编辑页面的某个参数进行写入攻击。所以直接在百度搜索:confluence挖矿病毒 2、感谢https://www.cnblogs.com/hack404/p/11464890.html作者的帮助。 处理过程: 1. 先封掉外网HTTP 端口 使用腾讯云控制台 安全组 设置80端口不允许访问。 2. 查杀进程 使用命令:top 查..
Atlassian Confluence OGNL表达式注入命令执行漏洞(CVE-2021-26084)漏洞复现
m0_64366018的博客
01-16 876
Confluence Data Center上存在一个注入漏洞,漏洞编号为CVE-2021-26084。该漏洞允许经过身份验证或在某些情况下未授权的攻击者,在Confluence Server或Confluence Data Center上执行任意代码。
jellyfin任意文件读取漏洞CVE-2021-21402 环境搭建
aweiweiweiei1的博客
05-12 968
jellyfin任意文件读取漏洞CVE-2021-21402 环境搭建教程 https://www.xiaoz.me/archives/14368
Microsoft Exchange多个高危漏洞 (CVE-2021-26855/26857/26858/27065)
爱国小白帽
03-05 6917
\1. 通告信息 2021年03月04日,安识科技A-Team团队监测到微软官方发布了Microsoft Exchange安全更新,披露了包括CVE-2021-26855,CVE-2021-26857,CVE-2021-26858,CVE-2021-27065等多个高危漏洞。 \2. 漏洞概述 Microsoft Exchange Server 是个消息与协作系统。Exchange Server可以被用来构架应用于企业、学校的邮件系统或免费邮件系统。2021年03月03日微软官方披露多个Excha.
Apache Druid远程代码执行漏洞复现(CVE-2021-25646)
Zlirving_的博客
02-04 3178
目录漏洞描述漏洞原理影响范围漏洞复现漏洞验证(dnslog)漏洞利用(反弹shell)修复建议 漏洞描述 Apache Druid 是用Java编写的面向列的开源分布式数据存储,旨在快速获取大量事件数据,并在数据之上提供低延迟查询分布式的、支持实时多维 OLAP 分析的数据处理系统。它既支持高速的数据实时摄入处理,也支持实时且灵活的多维数据分析查询。因此 Druid 最常用的场景就是大数据背景下、灵活快速的多维 OLAP 分析。 另外,Druid 还有一个关键的特点: 它支持根据时间戳对数据进行预聚合摄入和
Linux sudo权限提升漏洞(CVE-2021-3156)
Vdieoo的博客
01-27 1万+
1月26日,Sudo发布安全通告,修复了一个类Unix操作系统在命令参数中转义反斜杠时存在基于堆的缓冲区溢出漏洞。当sudo通过-s或-i命令行选项在shell模式下运行命令时,它将在命令参数中使用反斜杠转义特殊字符。但使用-s或-i标志运行sudoedit时,实际上并未进行转义,从而可能导致缓冲区溢出。只要存在sudoers文件(通常是/etc/sudoers),攻击者就可以使用本地普通用户利用sudo获得系统root权限。请受影响的用户尽快采取措施进行防护。 影响范围 受影响版...
Laravel CVE-2021-3129漏洞利用工具包解析
资源摘要信息:"Laravel-CVE-2021-3129-EXP-main.zip是一个关于CVE-2021-3129漏洞的Exploit工具包,该漏洞是Laravel框架中的一个安全漏洞,攻击者可以通过这个漏洞在受影响的服务器上自动写入Shell。CVE-2021-3129是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值