晚上20:18,发现云安全中心有一条告警
查看详情,发现是针对Jira系统的,首次发生时间在去年,看来是个“惯犯”了
执行的是一段cmd,还是通过jira的confluence进行远程代码执行的
奇怪哦,我就记得我是装过火绒的,怎么还能被云安全中心监测到?
分析后,类似的执行结果都是失败,只是偶尔一两次云安全中心会在火绒前发现这个命令执行而告警,大部分情况都是火绒先发现拦截了,我推测攻击者的程序也会定期执行利用这个漏洞
用火绒扫一扫,发现了两个webshell,不过我自己访问倒是访问不到这两个马
接着就是查查到底是怎么攻进来的,看了看confluence,是老版本了
试试CVE-2021-26084和CVE-2022-26134,最后CVE-2021-26084是可以利用的
但是我怎么试,都没有触发火绒的拦截,于是乎用攻击者的挖矿命令试试
虽然程序报错了,不过火绒已经有显示了,看来攻击者就是没事儿就执行一下,又想免费挖矿了?
最后,把那两个webshell清理了,再让负责人把confluence的补丁打上就ok了
