记confluence的一次溯源
记一次confluence挖矿溯源
1、背景概述
2、事件分析
该阿里云的系统客户部署一套了线上的confluence系统,且该系统是部署于我司的虎盾零信任安全访问系统内的,对其公网应用接口的暴露面进行了严格收敛。据得知客户在前天刚好将该收敛系统短暂暴露在公网中,增加其被攻击的可能性,导致最后被注入挖矿病毒。
前期获取客户某员工用户登录账户,获取当前使用的版本为Confluence 7.9.3
根据该系统版本,在互联网中发现该系统存在远程代码执行漏洞(CVE-2021-26084),且该系统漏洞在八月底被黑产大规模利用执行挖矿程序。
3、攻击分析
查看系统进程,发现恶意运行进程 ps -ef
根据阿里云告警提示的路径该文件创建的时间为 Dec 13 12:42
下载该路径文件获取矿池地址j0llychic.com:9999
获取该矿池的IP地址165.232.129.60定位为美国的一个矿池地址
用户名和密码:
“user”: “47W42XBUVVm3Nwc1h6dqN9YJm8XiCR5yzBpeiWjpUdAdJdpxT4bHVnoczTDvdG1xtsF3YSD1hJviq5bLFNTPVMcj7sNKvs4”,
“pass”: “82b1ee75afa6”,
查看了一下目前恶意进程trace运行情况,该进程cpu占用率为15%,并未太高
系统日志中目前并未发现其他的可疑连接及运行进程
且confluence日志中也并未发现可疑的请求日志记录
目前大概率怀疑黑产是通过CVE-2021-26084漏洞部署的远程挖矿程序,且清空了相应的请求记录
4、病毒清理
杀死进程
1 | ps -ef | grep trace |
文件清理
rm -rf /root/c3pool/
恶意进程不存在
矿池连接已不存在
5、漏洞复现
漏洞验证,该系统存在CVE-2021-26084
无虎盾收敛,应用面暴露,直接利用
虎盾收敛应用暴露面,已知应用和版本漏洞的情况下,未达成利用
6、总结分析
该客户系统部署于虎盾零信任安全产品体系下,并未遭受任何攻击,很好的对应用在公网的访问权限进行了严格限制和收敛。由于系统的短暂公网暴露,且该系统存在较新的版本漏洞,而遭受了此次严重的攻击,被黑客部署了挖矿病毒。
7、防范措施
升级系统版本
目前官方已在高版本中修复了该漏洞,请受影响的用户升级至安全版本。
https://www.atlassian.com/software/confluence/download-archives
安全版本列表
- Atlassian Confluence Server/Data Center 6.13.23
- Atlassian Confluence Server/Data Center 7.4.11
- Atlassian Confluence Server/Data Center 7.11.6
- Atlassian Confluence Server/Data Center 7.12.5
- Atlassian Confluence Server/Data Center 7.13.0
记confluence的一次溯源
