72小时快讯
事件描述 1月13日,“incaseformat”蠕虫病毒暴力删除磁盘文件,引起了不少用户对电脑安全的恐慌。此次蠕虫病毒,不仅伪造了文件夹图标、隐藏原始文件夹,还设置了定时删除文件的逻辑。除了1月13日,此病毒通过定时器还设定了多个时间段,后续执行删除文件的时间为1月23日、2月4日等日期。还有一些主机已经潜伏该病毒用户很可能会在2021年1月23和2月4号被删除数据。
Drupal开发团队已经发布了安全更新,以解决PEAR Archive_Tar第三方库中的CVE-2020-36193漏洞。该PEAR的Archive_Tar类提供处理的PHP tar文件。开发人员发布了流行CMS的、、和7版本的核心补丁。CVE-2020-36193漏洞是由符号链接检查不当引起的,导致Archive_Tar中的允许使用目录遍历进行写操作。根据Drupal发布的公告,可以通过禁用.tar,.,.bz2或.tlz文件的上传来缓解此漏洞。.x之前的Drupal 8版本已经停产,并且没有获得安全保障。在CVE-2020-36193漏洞被链接到CVE-2020-28948是于11月固定由开发商与发布漏洞紧急安全更新。
在落实等保和关保两个制度时,网络运营者明确网络安全等级保护和关键信息基础设施安全保护间的关系是开展网络安全工作的前提和基础。行业内讲“关保基于等保护高于等保”,究竟该如何理解这一口号呢?
武义网安立即启动“一案双查”工作机制,成立专案组进行调查。掌握了充分证据后,武义网安于2021年1月5日收网,扣押该公司主机70余台、服务器10余台、光猫120余套,犯罪嫌疑人王某因涉嫌拒不履行信息网络安全管理义务罪被依法刑事拘留。经查,犯罪嫌疑人王某于2017年10月成立玉环谊诚服务器租赁有限公司并担任法人,从事租赁服务器业务。在抓获王某后,民警即赶赴以上地点将机房内的设备一并扣押。目前,案件还在进一步侦办中。
基本信息 风险等级: 高危 漏洞类型: 目录遍历 漏洞利用: 暂无 漏洞编号:CVE-2020-36193 漏洞描述 近日,监测到1月20日Drupal官方发布安全更新,修复了Drupal 远程代码执行漏洞。影响范围 Drupal < ,Drupal < ,Drupal < ,Drupal < 解决方案 临时修复建议 若业务环境允许,使用白名单限制相关web项目访问来降低风险。通用修复建议 升级Drupal至最新版本。设置Drupal禁止用户上传如.tar、.、.bz2、.tlz等格式的压缩包。
研究人员围绕着以前未发现的,针对面向互联网的数据库服务器的加密矿开采活动的来源做出了新发现。该活动名为MrbMiner,于2020年9月被发现,它在数千台SQL服务器上下载并安装了一个cryptominer。现在,Sophos的研究人员已经追踪了这场运动的起源,他们声称这是一家位于伊朗的小型软件开发公司。Sophos的研究人员在周四的分析中说:“一家伊朗软件公司的名称被硬编码到该矿工的主要配置文件中。”
有效载荷 有效载荷部分,是 JWT 的主体内容部分,也是一个JSON对象, 包含需要传递的数据。JWT不仅可用于认证,还可用于信息交换。善用JWT有助于减少服务器请求数据库的次数。JWT的最大缺点是服务器不保存会话状态,所以在使用期间不可能取消令牌或更改令牌的权限。也就是说,一旦JWT签发,在有效期内将会一直有效。为了减少盗用和窃取,JWT不建议使用HTTP协议来传输代码,而是使用加密的HTTPS协议进行传输。某些服务端并未校验 JWT 签名。
Check Point Research与来自网络安全公司Otorio的专家分享了他们对数千个全球组织的大规模网络钓鱼活动进行调查详细信息。专家注意到,网络钓鱼活动背后的运营商主要针对能源和建筑公司,但他们不小心暴露了在攻击中被盗的凭据,这些攻击可通过简单的Google搜索公开查看。网络钓鱼者使用了独特的基础结构和受损的WordPress网站来存储被盗的数据。对大约500个被盗凭证的子集进行的分析显示,受害者属于各种目标行业,包括IT,医疗保健,房地产和制造业。
背景 最近都在做渗透测试项目,并不需要内网渗透,少了很多的成就感。于是,找了一个授权的企业项目,目标是获取内网核心权限,手段不限。入口 对于企业而言,散落在外的资产肯定还有不少,于是为了快速打点,先进行一波常规的信息收集。只能下载jar包下来分析,找到了mysql数据库的配置密码。可能核心业务不在linux上,尝试一下能否获取一个windows权限。可以尝试通过导出hash的方式获取域账号信息,再进行PTH。

X-Mode Social是一家成立于2013年的美国公司,总部位于维珍尼亚雷斯顿,专门从事位置数据的研究。其中该公司顺便描述了其用户量,该平台每月会绘制美国5%以上的人口图。在接下来的3-5年中,该公司计划建立一个1亿用户的图表,以绘制出33%的美国人口。

近期,360安全大脑监控到蔓灵花组织在2020年末的攻击活动中,使用Warzone RAT针对我国研究南亚关系的多位社会科学学者进行了攻击。攻击者通过伪造研究讨论学会邀请信的形式发起攻击,最终在受害者机器中植入Warzone RAT进行远程控制。

漏洞原因 当连接MySQL时,会导致memcmp返回一个非零值,会使MySQL认为两个密码是一样的。也就是说只要知道用户名,不断尝试登入SQL数据库漏洞。
思科正在阻止其SD-WAN解决方案和智能软件管理器卫星中的关键漏洞。思科警告其针对企业用户的广域网解决方案的软件定义网络中存在多个严重漏洞。思科发布了补丁程序,解决了八个缓冲区溢出和命令注入SD-WAN漏洞。这些漏洞中最严重的漏洞可能被未经身份验证的远程攻击者利用,从而以root特权在受影响的系统上执行任意代码。思科在周三的公告中表示:“思科已经发布了解决这些漏洞的软件更新。”
分享一款好用的CobaltStrike插件。首先上图吧,这是一款结合了taowu、Ladon、EventLogMaster等优秀开源插件的一款插件。由于本人是职业红队,所以在项目中CobaltStrike用的特别多,对市面上现有的开源插件如taowu等都用过,知道这些插件哪些地方好用,哪些地方不好用,并融合自己在项目中的经验,来编写一个混合的插件。这是最初的一个版本,后续会逐渐的修改bug和增加更多更新的功能。知识星球收费的目的一是为了防止白嫖党,二是防止广告党,第三也算是给我一点收益吧。

Malwarebytes昨天透露,SolarWinds黑客也破坏了其系统并获得了对其电子邮件的访问权限。继FireEye,Microsoft和CrowdStrike之后,Malwarebytes加入了受到Solarwinds攻击者打击的安全公司俱乐部。该公司指出,入侵发生在去年,黑客利用了另一种攻击媒介,并确实使用了SolarWinds Orion软件。* 12月15日,Microsoft安全响应中心警告安全公司其Microsoft Office 365租户中来自第三方应用程序的可疑活动。Malwarebytes表示,它是12月15日从Microsoft安全响应中心获悉入侵的。这意味着安全公司的客户使用其反恶意软件解决方案不会受到影响。
漏洞原因 服务器由于配置不当,将配置文件中的readonly设置为了false时,通过PUT创建一个jsp文件,并可以执行任意代码。漏洞复现 阿里云 docker 容器中启动此漏洞环境 2,浏览器访问IP加上端口3,用brupsuite抓包4,把GET修改PUT5,url后面加上,就可以看到在burp里写的内容。6,上传一句话木马,修改put 后面加上 秘密是cmd。7,访问XXXXXX:8080/8,冰蝎连接
此次安全更新发布了329个漏洞补丁,其中Oracle Fusion Middleware有60个漏洞补丁更新,主要涵盖了Oracle Weblogic、Oracle Endeca Information Discovery Integrator、Oracle WebCenter Portal、Oracle BI Publisher、Oracle Business Intelligence Enterprise Edition等产品。在本次更新的60个漏洞补丁中有47个漏洞无需身份验证即可远程利用。重大漏洞详情如下: 1. Oracle WebLogic Server多个严重漏洞Weblogic本次更新了多个反序列化漏洞,这些漏洞允许未经身份验证的攻击者通过HTTP、IIOP、T3协议发送构造好的恶意请求,从而在Oracle WebLogic Server执行代码。重启Weblogic项目,使配置生效。

开源软件Dnsmasq的七个缺陷可能会导致DNS缓存中毒攻击和远程执行代码。研究人员发现了dnsmasq中存在的一系列缺陷,该软件用于缓存家用和商用路由器和服务器的域名系统响应。如果加以利用,则这些缺陷可以链接在一起,以允许远程执行代码,拒绝服务和其他攻击。研究人员将这组漏洞标记为“ DNSpooq”,这是DNS欺骗,“网络流量的诡异间谍”概念和dnsmasq末尾的“ q”的组合。
僵尸网络于2020年11月出现在威胁领域,在某些情况下,攻击利用了最近披露的漏洞来注入OS命令。攻击旨在破坏受感染的系统以创建IRC僵尸网络,该僵尸网络以后可用于进行多种恶意活动,包括DDoS攻击和加密采矿活动。一旦感染了设备,它将稍后用作攻击平台。它们在代码的不同功能中用于不同的检查系统的TerraMaster TOS版本创建和发送数据包中间人攻击的ARP中毒。该僵尸网络尚处于早期阶段,在分析时,IRC面板显示它仅控制188个僵尸网络。

现在很多软件都是开源软件,而且linux操作系统一直就是开源的。现在很多服务器的操作系统都是linux,作为一个安全服务从业人员要能够清晰的发现自己的机器是否被入侵了是一个非常非常重要的事情,我从网上找了几种常见机器被入侵的情况来作为参考,这里系统版本为CentOS 版本其他linux操作系统类似。
