Apache HTTP Server权限提升漏洞(CVE-2019-0211) 2019年4月03日，阿里云云盾应急响应中心监测到Apache 官方发布安全更新，修复了多个安全漏洞，其中包含一个严重级别的提权漏洞（CVE-2019-0211）。成功利用此漏洞可能造成目标系统中低权限的子进程或线程提升至root权限。漏洞描述Apache HTTP Server 版本 2.4.17～2.4.38 ，以权限较低的子进程或线程（包括由进程内脚本解释器执行的脚本如php、cgi等）中执行代码时，可以通过操纵 scoreboard 来进行权限提升至父进程的权限（通常是root），非Unix系统不受漏洞影响。漏洞评级CVE-2019-0211 高危影响范围Unix系统下Apache HTTP Server 版本 2.4.17～2.4.38安全版本Apache HTTP Server 版本 2.4.39及以上安全建议升级至安全版本。相关链接https://httpd.apache.org/security/vulnerabilities_24.html#CVE-2019-0211

2019年5月15日，阿里云云盾应急响应中心监测到微软官方发布紧急安全补丁，修复了一个Windows远程桌面服务的远程代码执行漏洞(CVE-2019-0708)，利用此漏洞可能可以直接获取Windows服务器权限。漏洞描述微软官方紧急发布安全补丁，修复了一个Windows远程桌面服务的远程代码执行漏洞(CVE-2019-0708)，该漏洞影响了某些旧版本的Windows系统。此漏洞是预身份验证，无需用户交互。当未经身份验证的攻击者使用RDP（常见端口3389）连接到目标系统并发送特制请求时，可以在目标系统上执行任意命令。甚至传播恶意蠕虫，感染内网其他机器。类似于2017年爆发的WannaCry等恶意勒索软件病毒。2019年05月31日，有安全研究人员披露该漏洞远程crash PoC，阿里云应急响应中心分析测试利用工具真实有效，开启了RDP远程桌面服务且未开启NLA配置的Windows 7/xp/2003/2008/2008 R2 机器可被远程攻击导致蓝屏DoS。风险极大。漏洞评级CVE-2019-0708 严重影响版本Windows 7Windows Server 2008 R2Windows Server 2008Windows 2003Windows XP安全建议注：微软官方描述开启NLA(网络级别身份验证)可能可以缓解此漏洞攻击，但还是强烈建议尽快安装安全补丁；以下补丁修复方案均存在不可...

【漏洞预警】Oracle WebLogic 远程代码执行漏洞(CVE-2019-2725 补丁绕过) 2019年6月15日，阿里云云盾应急响应中心监测到Oracle WebLogic 在野0day命令执行漏洞，该漏洞绕过了最新的Weblogic补丁(CVE-2019-2725)，攻击者可以发送精心构造的恶意HTTP请求，在未授权的情况下远程执行命令，风险极大。漏洞描述该漏洞绕过CVE-2019-2725补丁，漏洞存在wls-wsat和bea_wls9_async_response组件，未经授权的攻击者可以发送精心构造的恶意 HTTP 请求，获取服务器权限，实现远程代码执行。阿里云云盾应急响应中心已捕获该0day漏洞利用方式，漏洞真实存在且风险极大。目前官方暂未发布补丁，阿里云云盾应急响应中心提醒WebLogic用户尽快使用以下安全修复方案阻止漏洞攻击。历史上，2019年4月18日，阿里云安全应急响应中心发布CVE-2019-2725漏洞预警：https://help.aliyun.com/noticelist/articleid/1000131175.html2019年6月18日，Oracle官方已发布该漏洞通告和补丁，CVE编号CVE-2019-2729：https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2729-5570780.html安全修复建议注：以下任意一种修复方式都有可能造成业务不可用一、删除w...

CVE-2019-11477漏洞简单介绍 https://cert.360.cn/warning/detail?id=27d0c6b825c75d8486c446556b9c9b68RedHat用户可以使用以下脚本来检查系统是否存在漏洞 https://access.redhat.com/sites/default/files/cve-2019-11477--2019-06-17-1629.shAWS CVE-2019-11477漏洞解决方案文档 https://amazonaws-china.com/cn/security/security-bulletins/AWS-2019-005/?from=groupmessage阿里云解决方案文档 https://help.aliyun.com/noticelist/articleid/1060012493.html?spm=a2c4g.789004748.n2.7.15386141GM8EylLinux TCP漏洞 CVE-2019-11477 CentOS7 修复方法 https://www.cnblogs.com/wzstudy/p/11058328.html1 直接升级内核修复(需重启机器)#下载漏洞检测脚本 #[root@CentOS7 ~]# wget https://access.redhat.com/sites/default/files/cve-2019-11477--2019-06-17-1629.sh #[root@CentOS7 ~]# ll 总用量 36 -rw-------. 1 root root 1608 3月 19 09:44 anaconda-ks.cfg -rw-r--r-- 1 root root 28701 6月 18 01:00 cve-2019-11477--2019-06-17-1629.sh #查看当前内核 [root@CentOS7 ~]# rpm -qa|grep kernel kernel-3.10.0-957.5.1.el7.x86_64 kernel-headers...

OpenSSH-8.0p1 Introduction to OpenSSH The OpenSSH package contains ssh clients and the sshd daemon. This is useful for encrypting authentication and subsequent traffic over a network. The ssh and scp commands are secure implementations of telnet and rcp respectively. This package is known to build and work properly using an LFS-8.4 platform. Package Information Download (HTTP): http://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-8.0p1.tar.gz Download MD5 sum: bf050f002fe510e1daecd39044e1122d Download size: 1.5 MB Estimated disk space required: 45 MB (add 12 MB for tests) ...

去除使用系统自带的网卡驱动，手动安装更新网卡驱动。1、先确认当前驱动版本：#modinfo bnx2 #或直接ethtool -i eth0 可以查看到固件版本filename: /lib/modules/2.6.18-194.el5/kernel/drivers/net/bnx2.koversion: 2.0.22、下载最新网卡驱动 到这里，或是本站连接 http://ldriver.qlogic.com/driver-srpms/netxtreme2/网卡驱动最新版#rpm -ivh netxtreme2-7.14.54-1.rhel7u6.src.rpm #解压出包源码 1:netxtreme2 ########################################### [100%]#cd /root/rpmbuild/SPECS/#rpmbuild -bb netxtreme2-7.x.spec   #重建生产对应系统的rpm包当然也可以使用源码包安装，这里不再说了。#： rpm -ivh  kmod-netxtreme2-7.14.54-1.rhel7u6.x86_64.rpm4、网卡驱动切换：rmmod bnx2modprobe bnx25、核实更新后当前驱动版本：#modinfo bnx2 #或直接ethtool -i eth0 可以查看到固件版本至此解决了网卡驱动更新问题

OpenSSH-7.9p1安装方案 Introduction to OpenSSH The OpenSSH package contains ssh clients and the sshd daemon. This is useful for encrypting authentication and subsequent traffic over a network. The ssh and scp commands are secure implementations of telnet and rcp respectively. This package is known to build and work properly using an LFS-8.4 platform. Package Information Download (HTTP): http://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-7.9p1.tar.gz Download MD5 sum: c6af50b7a474d04726a5aa747a5dce8f Download size: 1.5 MB Estimated disk space required: 39 MB (add 12 MB for tests) ...

修改openssh版本信息/////备份sshd#cp /usr/sbin/sshd /usr/sbin/sshd.bak.20171116////搜索版本信息#strings  /usr/sbin/sshd | grep OpenSSHOpenSSH_5.9p1OpenSSH_5.9OpenSSH_2.3.0*OpenSSH_2.3.*OpenSSH_2.5.3*OpenSSH_3.*OpenSSH_4*OpenSSH*OpenSSH-2.0*,OpenSSH-2.1*,OpenSSH_2.1*,OpenSSH_2.2*OpenSSH_2.5.0p1*,OpenSSH_2.5.1p1*OpenSSH_2.5.0*,OpenSSH_2.5.1*,OpenSSH_2.5.2*OpenSSH_2.*,OpenSSH_3.0*,OpenSSH_3.1*////替换版本信息NFAServer:~ # sed -i 's/OpenSSH_6.2p2/OpenSSH_7.4p1/g' /usr/sbin/sshdNFAServer:~ # sed -i 's/OpenSSH_6.2/OpenSSH_7.4/g' /usr/sbin/sshdNFAServer:~ #NFAServer:~ # cp -p /usr/bin/ssh /usr/bin/ssh.unsafeNFAServer:~ # sed -i 's/OpenSSH_6.2p2/OpenSSH_7.4p1/g' /usr/bin/sshNFAServer:~ # sed -i 's/OpenSSH_6.2/OpenSSH_7.4/g' /usr/bin/sshNFAServer:~ #NFAServer:~ # /etc/init.d/sshd restartNFAServer:~ # ssh -VOpenSSH_7.4p1, OpenSSL 0.9.8j-fips 07 Jan 2009

Fail2ban 阻止暴力破解简介： Fail2ban 能够监控系统日志，匹配日志中的错误信息（使用正则表达式），执行相应的屏蔽动作（支持多种，一般为调用 iptables ），是一款很实用、强大的软件。 如：攻击者不断尝试穷举 SSH 、SMTP 、FTP 密码等，只要达到预设值，fail2ban 就会调用防火墙屏蔽此 IP ，并且可以发送邮件通知系统管理员。功能、特性：1、支持大量服务：sshd 、apache 、qmail 等2、支持多作动作：iptables 、tcp-wrapper 、shorewall 、mail notifications 等3、logpath 选项中支持通配符4、需要 Gamin 支持（Gamin 用于监控文件和目录是否更改）5、如果需要邮件通知，则系统事先要确保能够正常发送邮件1、fail2ban 安装shell > yum -y install epel-release shell > yum -y install fail2ban2、fail2ban 结构/etc/fail2ban                  ## fail2ban 服务配置目录/etc/fail2ban/action.d     ## iptables 、mail 等动作文件目录/etc/fail2ban/filter.d       ## 条件匹配文件目录，过滤日志关键内容/etc/fail2ban/jail.conf     ## fail2ban 防护配置文件/etc/fa...

警惕从1月1日开始，大量未修复WebLogic WSAT（全称：Web Services Atomic Transactions）组件RCE漏洞的主机被挖矿程序攻击，尤其是1月3日，更是大面积爆发，很多银行、部委、保险、电力、电信等行业用户中招儿！症状 WebLogic服务进程非计划停机（进程退出），WebLogic Server日志中出现如下信息：####<2018-1-2 上午12时52分26秒 CST> <Notice> <WebLogicServer> <**********> <**********> <Thread-1> <<WLS Kernel>> <> <> <1514825546683> <BEA-000388> <JVM called WLS shutdown hook. The server will force shutdown now>而且主机的history（Linux&Unix系）中可看到攻击脚本的身影：该脚本首先会杀掉本机上的python和java程序，然后下载运行比特币的挖矿程序xmrig-y（xmrig-y.exe，该程序被多款杀毒软件标示为挖矿或恶意木马程序），然后伪装成java文件运行，接着执行一个while true的循环，在满足相应的条件时，杀掉主机相关进程。原因 受到CVE-2017-10271或者CVE-2017-3506漏洞的影响，2017年12月22日，国内很多安全站点都通报过此问题，笔者于12月31日，在中间件用户...