国庆节喜提rocketmq挖矿木马病毒

国庆节喜提rocketmq挖矿木马

上次因为设置弱密码被黑客黑数据库距今已经两年了，今天又碰到了docker容器被挖矿。

现象

大早上，一台机器cpu使用率98.8%... ，top查看发现 kdevtmpfsi这个进程搞得鬼。

kdevtmpfsi 是啥？为何如此逆天？于是乎百度了一下，一看结果心就凉了半截。 行了中了挖矿木马了。

问题定位

1.慌了慌了... 首先想到的是kill掉进程、看看是否存在定时任务，杀掉相关文件。于是乎开始了咔咔一顿杀，效果很显著cpu瞬间就降了下来了。

总觉得没那么简单，病毒应该不会这么好杀吧？果然仅仅过了1分钟又活了。

行吧继续处理，求助百度吧

第一篇文章：Linux服务器kdevtmpfsi挖矿病毒解决方法：治标+治本-CSDN博客

通过这篇文章分析一下，这台服务器上确实装了redis镜像但是设置了复杂的密码了，已经运行两个多月了好好的，难道是专门挑个节假日攻击不容易被发现？？？

进一步分析，1.该病毒还有个守护进程kinsing 2.该病毒是通过对未设置密码或者有漏洞的容器进行植入挖矿程序 3.可以通过删除kinsing、kdevtmpfsi的进程和文件目录，更换镜像文件解决。

问题根源
服务器安装的redis镜像有问题，被植入kdevtmpfsi挖矿程序。
redis未设置密码、或者密码过于简单
服务器被植入定时任务：下载病毒程序、并唤起，及进程存活监测
1.治本方法
更换redis镜像
redis设置安全性高的密码
检查定时任务crontab -l，如有必要cat or vim 进入脚本，确认自家脚本没有串改
没有用到的端口，不要开放
可不做查出外部植入的定时程序，访问哪个ip下载病毒程序，将其拉黑
2.治标方法、稳定有效
编写shell脚本 vim /tmp/kill_kdevtmpfsi.sh；
ps -aux | grep kinsing |grep -v grep|cut -c 9-15 | xargs kill -9 
ps -aux | grep kdevtmpfsi |grep -v grep|cut -c 9-15 | xargs kill -9 
rm -f /var/tmp/kinsing
rm -f /tmp/kdevtmpfsi
1
2
3
4
新增定时任务；
*/1 * * * * /tmp/kill_kdevtmpfsi.sh
top -d 5观察，解决
------------------------------------------------

                            版权声明：本文为博主原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接和本声明。
                        
原文链接：https://blog.csdn.net/Cupster/article/details/104498884

问题处理

1.根据上面的文章并没有找到/var/tmp/kinsing、/tmp/kdevtmpfsi 通过find / -name "*kdevtmpfsi*"命令搜索kdevtmpfsi ，原来植入到了docker容器里了

2.定位容器 通过目录名查找容器名,原来是RocketMQ啊

[root@k8s03 overlay2]# docker ps -q | xargs docker inspect --format '{{.State.Pid}}, {{.Id}}, {{.Name}}, {{.GraphDriver.Data.WorkDir}}' | grep 5e4fcaec2dde7a08260f1f45ca38f0fd0b0ea001ea62ba8ccbbc59f2ae012ed9
1388136, fbbaeb9359d1b205820b8bb195b0b807b35ee9751d08abb4f57dfac6fca7bff7, /rmqbroker, /var/lib/docker/overlay2/5e4fcaec2dde7a08260f1f45ca38f0fd0b0ea001ea62ba8ccbbc59f2ae012ed9/work

3.分析原因 出问题的镜像是rocketmq 5.1.0 ,网上一搜发现这玩意低版本有远程代码执行漏洞 RocketMQ 5.1.0及以下版本，在一定条件下，存在远程命令执行风险。RocketMQ的NameServer、Broker、Controller等多个组件外网泄露，缺乏权限验证，攻击者可以利用该漏洞利用更新配置功能以RocketMQ运行的系统用户身份执行命令。 此外，攻击者可以通过伪造 RocketMQ 协议内容来达到同样的效果。

Apache RocketMQ NameServer 远程代码执行漏洞（CVE-2023-37582）原理分析与漏洞检测思路-腾讯云开发者社区-腾讯云 (tencent.com) cloud.tencent.com/developer/a...

Apache RocketMQ 远程代码执行漏洞（CVE-2023-33246） www.cnblogs.com/hetianlab/p...

总结

1.安装低版本镜像一定查看是否存在安全漏洞，能用高版本就用高版本！！！ 2.互联网机器一定配置安全组、防火墙策略！！！