注意!⚠️ 🔥 🚧 PostgreSQL 存在安全漏洞,请及时更新版本或者停用删除相关服务,防止中招!🚀🚀🚀

前言

昨天半夜收到短信提醒,说我的服务器遭受了恶意挖矿程序攻击:

中午有空打开后台,一看 CPU 占用率居然怎么高了!

赶紧登陆看看情况

精彩推荐

正文

追因溯源

先确认是否有异常 CPU 或内存使用情况:

bash 复制代码
top -c

COMMAND 是 perfctl:这个名字看起来像是在伪装系统性能控制命令,但实际上 CentOS 或其他主流 Linux 发行版并没有叫 perfctl 的标准程序。

占用 CPU 高达 99%:明显异常,这基本可以确认是挖矿程序伪装的。

bash 复制代码
ps -o pid,ppid,cmd -p 27519
bash 复制代码
ps -fp 19226

握草,居然是熟悉的 PostgreSQL,之前的文章里介绍过它,因为安装了Konga部署过网关!

文件藏在 /tmp/.perf.c/ 并带有 隐藏目录名(点号开头),是典型的恶意行为

bash 复制代码
ls -l /proc/27519/exe
lrwxrwxrwx 1 polkitd input 0 Apr 21 13:25 /proc/27519/exe -> /tmp/.perf.c/perfctl (deleted)

它的父进程是 postgres(PID 19226),但运行用户是 polkitd,极不寻常;

bash 复制代码
Docker shim (容器进程)
   └── postgres (polkitd 身份运行)
         └── perfctl (后门)
处理

杀掉恶意进程:

bash 复制代码
kill -9 27519

检查可疑文件

bash 复制代码
ls -alh /tmp
ls -alh /dev/shm
ls -alh /var/tmp

没发现可疑文件,已经运行之后就删除了文件,

停止进程:

bash 复制代码
docker stop c70e5c3e6045

删除容器:

bash 复制代码
docker rm 027ccf656dc1

删除镜像:

bash 复制代码
docker rmi 027ccf656dc1

总结

回头看,攻击提醒里居然已经定位到了问题在哪了!真的太厉害了,呼吁各位不要像我一样,折腾这么多新玩意,太容易中招了!

最后发现这个漏洞一直存在

注意!PostgreSQL 存在安全漏洞,请及时更新版本或者停用删除相关服务,防止中招!

精彩推荐
相关推荐
kebeiovo15 分钟前
网络muduo库的实现(2)
服务器·网络·php
hello_ world.20 分钟前
RHCA04--系统模块管理与资源限制
linux·服务器·网络
wayuncn25 分钟前
16核32G硬件服务器租用需要多少钱
运维·服务器·服务器租用·裸金属服务器·物理服务器租用·物理机租用·idc服务商
Catfood_Eason33 分钟前
通用代码自用
java·服务器·前端
懒大王敲代码39 分钟前
手绘风格制图新选择:如何用Excalidraw+cpolar构建你的视觉化工作流?
linux·服务器·colar
Hoxy.R42 分钟前
一次“无告警”的服务器宕机分析:从无迹可寻到精准定位
运维·服务器
幸运小圣43 分钟前
前端保持和服务器时间同步的方法【使用vue3举例】
服务器·前端
小孙姐44 分钟前
Linux-Day11.WEB服务,虚拟主机
linux·运维·服务器
iLoyalty1 小时前
防御保护07-08
运维·服务器
wb18910 小时前
服务器的Mysql 集群技术
linux·运维·服务器·数据库·笔记·mysql·云计算