lukeslp/redtail-ioc
GitHub: lukeslp/redtail-ioc
源自真实 Linux root 权限入侵事件的入侵指标(IOC)集合与只读取证排查脚本,帮助运维和安全人员快速检测同类挖矿木马与持久化后门。
Stars: 2 | Forks: 0
# redtail-ioc
入侵指标和分类排查脚本,源自 2026 年 7 月我运行的一台 Linux 服务器被黑的事件。上面被堆叠了四样东西:
- **RedTail** 挖矿木马,伪装为 root 用户所有的 `php-fpm: pool www`
- **XorDDoS** 式持久化(`/etc/cron.hourly/gcc.sh`、`libudev.so`、伪造服务)
- **MoneroOcean** 挖矿程序,以伪造的 `systemd-resolvd` 进程运行,进程名为 `[kworker/0:2]`
- **DirtyFrag** 内核提权(CVE-2026-43284 / CVE-2026-43500)
包含时间线以及我如何发现每一个部分的完整分析文章,请见 **[lukesteuber.com/writing/redtail-compromise](https://lukesteuber.com/writing/redtail-compromise/)**。
我把这些指标放在这里,是因为当你在为自己的服务器进行分类排查时,你会去 GitHub 上搜索某个哈希或 IP。也许这些内容能帮你省下一个小时。
## 文件
- **[`iocs.txt`](iocs.txt)**:哈希、带有滥用投诉联系方式的 C2 IP、Monero 矿池和钱包、文件系统痕迹、进程伪装、CVE。
- **[`check-my-box.sh`](check-my-box.sh)**:只读的分类排查。检查本次事件中的特定特征,且不会对系统做出任何修改。
## 运行检查清单
```
curl -O https://raw.githubusercontent.com/lukeslp/redtail-ioc/main/check-my-box.sh
sudo bash check-my-box.sh
```
运行结果干净并不能证明你绝对安全,而检测到命中也不能证明你已经被完全控制。这两种情况都意味着你需要进一步深入检查。
## 简述其是如何入侵的
开启 root 登录的密码 SSH 被暴力破解,随后利用 DirtyFrag 提权至 root。如果你的服务器也是这种情况,请关闭密码认证并使用密钥。
## 许可证
[CC0](https://creativecommons.org/publicdomain/zero/1.0/)。公共领域。随意拿取、fork,或整合到你自己的检测工具中。欢迎通过 issue 或 PR 对这些家族提供更正和新的指标。
## 链接
- [GitHub](https://github.com/lukeslp)
- [Bluesky](https://bsky.app/profile/lukesteuber.com)
- [网站](https://lukesteuber.com)
标签:Cutter, DNS 反向解析, IoC, IP 地址批量处理, Web报告查看器, 威胁情报, 安全, 库, 应急响应, 应用安全, 开发者工具, 恶意软件, 超时处理, 防御加固