V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  0x73346b757234  ›  全部回复第 2 页 / 共 2 页
回复总数  27
1  2  
2022-02-17 14:47:47 +08:00
回复了 vicalloy 创建的主题 分享创造 开源 wiki 和知识管理系统 Outline 的快速部署脚本
一直在找解决 Outline 认证问题和简化部署的工具,刚部署成功了,已 star ,感谢。
2022-02-10 18:04:25 +08:00
回复了 kaka6 创建的主题 程序员 User-Agent 注入
对面想通过 Log4j 漏洞下载 xmrig 挖矿脚本。多谢老哥提供了个样本,测了下自己的规则能覆盖,嘿嘿。
2021-11-02 10:01:50 +08:00
回复了 leiuu 创建的主题 信息安全 公司服务器被攻击了!
更新:

重新尝试分析了一下 kinsing ,发现与 H2Miner 黑产的样本高度相似。
腾讯安全同事去年分析过 H2Miner: https://s.tencent.com/research/report/976.html
你们这个应该跟这个基本上差不多,只是样本多了些别的功能,比如多了对 F5 RCE 漏洞的支持。
2021-11-01 16:39:20 +08:00
回复了 leiuu 创建的主题 信息安全 公司服务器被攻击了!
@leiuu 噢,是通过一些信息检索找到的。
做安全的可能这块相对熟悉一些,也只是个普通的安全从业者😂,建议你们部署一些主机安全设备加强防护。
2021-11-01 16:19:44 +08:00
回复了 leiuu 创建的主题 信息安全 公司服务器被攻击了!
刚大概看了下样本,spr.sh 被放进 crontab 用来定期一顿清理和杀别的进程,清理完最后会下载执行挖矿主体程序“kinsing.elf”。
从清理脚本看应该是有 root 权限,我觉得可以先看看服务器哪些应用是 root 跑的,缩小一下溯源范围。如果没有其他流量层和主机层的日志的话这个比较难去准确溯源调查。
我把关联的 IOC 整理了下,安全同事们看到这里顺便可以在自家的 NIDS/HIDS 里自查一下。

文件 Hash:
b099a4454a5ecc566f849747c14dec8accc96128f21cf228790a4b34d3ef1aea
75596a259a6cf7701da23e8220550216a559006acc2b8607aa9b0017e6c293d9
6e25ad03103a1a972b78c642bac09060fa79c460011dc5748cbb433cc459938b

IP:
185.191.32.198
194.38.20.199

URL:
hxxp://194.38.20.199/kinsing
hxxp://194.38.20.199/spr.sh
hxxp://194.38.20.199/cron.sh
hxxp://185.191.32.198/spr.sh (疑似已失效)
2021-08-17 17:26:56 +08:00
回复了 cxzccxvcx 创建的主题 信息安全 最近你们有被这样的电话造访过么?
没接到过。目前个人的防御思路是这样:
1. 家人朋友来电->通讯录=白名单->直接接。
2. 腾讯手机管家+防骚扰大师=黑名单->快递送餐等接,其余不接。
3. 剩余的默认不接,一般认识的人基本走微信了,除非连续打(可能是紧急情况)。
2021-08-16 14:01:58 +08:00
回复了 kaide 创建的主题 macOS 11.5.0 和 11.5.1 的输入法切换好像有 BUG。
同被困扰,升级去了...
1  2  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1264 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 15ms · UTC 18:20 · PVG 02:20 · LAX 10:20 · JFK 13:20
Developed with CodeLauncher
♥ Do have faith in what you're doing.