作者：Zgao

和朋友一起协同开发，需要打通双方的局域网互访，所以考虑到vpn的场景。一开始考虑frp+openvpn的实现。frp实现点对点穿透，openvpn负责组网。但是感觉这样配置较为繁琐，双方都需要部署frp和openvpn，体验不是很友好。

探索了多种方案最终选择了Zerotier，一个自带P2P打洞的vpn，同时满足需要。只需要自建一台有公网ip的moon服务器就可以高效实现各个zerotier节点之间的打洞。

近期发现某国内的黑客团伙用0889.org作为恶意样本地址和通信域名，后面简称0889组织。最近一次排查某云上挖矿的case，发现该组织通过jenkins RCE漏洞突破边界，内网横向后拿到主机权限后，批量下发挖矿和rootkit后门。

挖矿就没什么好说的，本文重点分析该组织的rootkit后门隐藏手法以及应急排查思路。

└─# vol -f sample.mem linux.pstree.PsTree
Volatility 3 Framework 2.11.0
Progress:  100.00               Stacking attempts finished                 
Unsatisfied requirement plugins.PsTree.kernel.layer_name: 
Unsatisfied requirement plugins.PsTree.kernel.symbol_table_name: 

A translation layer requirement was not fulfilled.  Please verify that:
        A file was provided to create this layer (by -f, --single-location or by config)
        The file exists and is readable
        The file is a valid memory image and was acquired cleanly

A symbol table requirement was not fulfilled.  Please verify that:
        The associated translation layer requirement was fulfilled
        You have the correct symbol file for the requirement
        The symbol file is under the correct directory or zip file
        The symbol file is named appropriately or contains the correct banner

Unable to validate the plugin requirements: ['plugins.PsTree.kernel.layer_name', 'plugins.PsTree.kernel.symbol_table_name']

vol3分析Linux内存通常都会遇到上面的报错，就是缺少对应的系统符号表。但网上介绍Volatility3的文章大部分都是都把工具的命令行翻译成中文，当真的去实操vol分析内存时会发现有太多的坑，因为分析内存是需要当前系统的符号表。

vol3自带的Linux符号表非常少，而Linux的kernel版本又非常众多，大多数情况都需要在对应的机器上手动导出符号表才能开始分析内存。

整理应急响应中经常会用到的Audit审计命令，方便排查使用。

esxi配置旁路由过程记录。

阅读更多

rsync是一个高效的数据同步工具，但是使用rsync本身只支持ssh和rsync这两种传输协议。我最近遇到了一种场景是从境外的服务器上同步到国内的NAS上。直接传输很容易被GFW阻断掉，但是rsync本身不支持tls加密。

最终通过 trojan + rsync 实现伪装tls流量远程同步文件。