国庆节喜提rocketmq挖矿木马
上次因为设置弱密码被黑客黑数据库距今已经两年了,今天又碰到了docker容器被挖矿。
现象
大早上,一台机器cpu使用率98.8%... ,top查看发现 kdevtmpfsi这个进程搞得鬼。
kdevtmpfsi 是啥?为何如此逆天?于是乎百度了一下,一看结果心就凉了半截。 行了中了挖矿木马了。
问题定位
1.慌了慌了... 首先想到的是kill掉进程、看看是否存在定时任务,杀掉相关文件。于是乎开始了咔咔一顿杀,效果很显著cpu瞬间就降了下来了。
总觉得没那么简单,病毒应该不会这么好杀吧?果然仅仅过了1分钟又活了。
行吧继续处理,求助百度吧
第一篇文章:Linux服务器kdevtmpfsi挖矿病毒解决方法:治标+治本-CSDN博客
通过这篇文章分析一下,这台服务器上确实装了redis镜像但是设置了复杂的密码了,已经运行两个多月了好好的,难道是专门挑个节假日攻击不容易被发现???
进一步分析,1.该病毒还有个守护进程kinsing 2.该病毒是通过对未设置密码或者有漏洞的容器进行植入挖矿程序 3.可以通过删除kinsing、kdevtmpfsi的进程和文件目录,更换镜像文件解决。
bash
问题根源
服务器安装的redis镜像有问题,被植入kdevtmpfsi挖矿程序。
redis未设置密码、或者密码过于简单
服务器被植入定时任务:下载病毒程序、并唤起,及进程存活监测
1.治本方法
更换redis镜像
redis设置安全性高的密码
检查定时任务crontab -l,如有必要cat or vim 进入脚本,确认自家脚本没有串改
没有用到的端口,不要开放
可不做查出外部植入的定时程序,访问哪个ip下载病毒程序,将其拉黑
2.治标方法、稳定有效
编写shell脚本 vim /tmp/kill_kdevtmpfsi.sh;
ps -aux | grep kinsing |grep -v grep|cut -c 9-15 | xargs kill -9
ps -aux | grep kdevtmpfsi |grep -v grep|cut -c 9-15 | xargs kill -9
rm -f /var/tmp/kinsing
rm -f /tmp/kdevtmpfsi
1
2
3
4
新增定时任务;
*/1 * * * * /tmp/kill_kdevtmpfsi.sh
top -d 5观察,解决
------------------------------------------------
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
原文链接:https://blog.csdn.net/Cupster/article/details/104498884问题处理
1.根据上面的文章并没有找到/var/tmp/kinsing、/tmp/kdevtmpfsi 通过find / -name "*kdevtmpfsi*"命令搜索kdevtmpfsi ,原来植入到了docker容器里了
2.定位容器 通过目录名查找容器名,原来是RocketMQ啊
ruby
[root@k8s03 overlay2]# docker ps -q | xargs docker inspect --format '{{.State.Pid}}, {{.Id}}, {{.Name}}, {{.GraphDriver.Data.WorkDir}}' | grep 5e4fcaec2dde7a08260f1f45ca38f0fd0b0ea001ea62ba8ccbbc59f2ae012ed9
1388136, fbbaeb9359d1b205820b8bb195b0b807b35ee9751d08abb4f57dfac6fca7bff7, /rmqbroker, /var/lib/docker/overlay2/5e4fcaec2dde7a08260f1f45ca38f0fd0b0ea001ea62ba8ccbbc59f2ae012ed9/work3.分析原因 出问题的镜像是rocketmq 5.1.0 ,网上一搜发现这玩意低版本有远程代码执行漏洞 RocketMQ 5.1.0及以下版本,在一定条件下,存在远程命令执行风险。RocketMQ的NameServer、Broker、Controller等多个组件外网泄露,缺乏权限验证,攻击者可以利用该漏洞利用更新配置功能以RocketMQ运行的系统用户身份执行命令。 此外,攻击者可以通过伪造 RocketMQ 协议内容来达到同样的效果。
Apache RocketMQ NameServer 远程代码执行漏洞(CVE-2023-37582)原理分析与漏洞检测思路-腾讯云开发者社区-腾讯云 (tencent.com) cloud.tencent.com/developer/a...
Apache RocketMQ 远程代码执行漏洞(CVE-2023-33246) www.cnblogs.com/hetianlab/p...
总结
1.安装低版本镜像一定查看是否存在安全漏洞,能用高版本就用高版本!!! 2.互联网机器一定配置安全组、防火墙策略!!!