lukeslp/redtail-ioc

GitHub: lukeslp/redtail-ioc

源自真实 Linux root 权限入侵事件的入侵指标(IOC)集合与只读取证排查脚本,帮助运维和安全人员快速检测同类挖矿木马与持久化后门。

Stars: 2 | Forks: 0

# redtail-ioc 入侵指标和分类排查脚本,源自 2026 年 7 月我运行的一台 Linux 服务器被黑的事件。上面被堆叠了四样东西: - **RedTail** 挖矿木马,伪装为 root 用户所有的 `php-fpm: pool www` - **XorDDoS** 式持久化(`/etc/cron.hourly/gcc.sh`、`libudev.so`、伪造服务) - **MoneroOcean** 挖矿程序,以伪造的 `systemd-resolvd` 进程运行,进程名为 `[kworker/0:2]` - **DirtyFrag** 内核提权(CVE-2026-43284 / CVE-2026-43500) 包含时间线以及我如何发现每一个部分的完整分析文章,请见 **[lukesteuber.com/writing/redtail-compromise](https://lukesteuber.com/writing/redtail-compromise/)**。 我把这些指标放在这里,是因为当你在为自己的服务器进行分类排查时,你会去 GitHub 上搜索某个哈希或 IP。也许这些内容能帮你省下一个小时。 ## 文件 - **[`iocs.txt`](iocs.txt)**:哈希、带有滥用投诉联系方式的 C2 IP、Monero 矿池和钱包、文件系统痕迹、进程伪装、CVE。 - **[`check-my-box.sh`](check-my-box.sh)**:只读的分类排查。检查本次事件中的特定特征,且不会对系统做出任何修改。 ## 运行检查清单 ``` curl -O https://raw.githubusercontent.com/lukeslp/redtail-ioc/main/check-my-box.sh sudo bash check-my-box.sh ``` 运行结果干净并不能证明你绝对安全,而检测到命中也不能证明你已经被完全控制。这两种情况都意味着你需要进一步深入检查。 ## 简述其是如何入侵的 开启 root 登录的密码 SSH 被暴力破解,随后利用 DirtyFrag 提权至 root。如果你的服务器也是这种情况,请关闭密码认证并使用密钥。 ## 许可证 [CC0](https://creativecommons.org/publicdomain/zero/1.0/)。公共领域。随意拿取、fork,或整合到你自己的检测工具中。欢迎通过 issue 或 PR 对这些家族提供更正和新的指标。 ## 链接 - [GitHub](https://github.com/lukeslp) - [Bluesky](https://bsky.app/profile/lukesteuber.com) - [网站](https://lukesteuber.com)
标签:Cutter, DNS 反向解析, IoC, IP 地址批量处理, Web报告查看器, 威胁情报, 安全, 库, 应急响应, 应用安全, 开发者工具, 恶意软件, 超时处理, 防御加固