注意!⚠️ 🔥 🚧 PostgreSQL 存在安全漏洞,请及时更新版本或者停用删除相关服务,防止中招!🚀🚀🚀

前言

昨天半夜收到短信提醒,说我的服务器遭受了恶意挖矿程序攻击:

中午有空打开后台,一看 CPU 占用率居然怎么高了!

赶紧登陆看看情况

精彩推荐

正文

追因溯源

先确认是否有异常 CPU 或内存使用情况:

bash 复制代码
top -c

COMMAND 是 perfctl:这个名字看起来像是在伪装系统性能控制命令,但实际上 CentOS 或其他主流 Linux 发行版并没有叫 perfctl 的标准程序。

占用 CPU 高达 99%:明显异常,这基本可以确认是挖矿程序伪装的。

bash 复制代码
ps -o pid,ppid,cmd -p 27519
bash 复制代码
ps -fp 19226

握草,居然是熟悉的 PostgreSQL,之前的文章里介绍过它,因为安装了Konga部署过网关!

文件藏在 /tmp/.perf.c/ 并带有 隐藏目录名(点号开头),是典型的恶意行为

bash 复制代码
ls -l /proc/27519/exe
lrwxrwxrwx 1 polkitd input 0 Apr 21 13:25 /proc/27519/exe -> /tmp/.perf.c/perfctl (deleted)

它的父进程是 postgres(PID 19226),但运行用户是 polkitd,极不寻常;

bash 复制代码
Docker shim (容器进程)
   └── postgres (polkitd 身份运行)
         └── perfctl (后门)
处理

杀掉恶意进程:

bash 复制代码
kill -9 27519

检查可疑文件

bash 复制代码
ls -alh /tmp
ls -alh /dev/shm
ls -alh /var/tmp

没发现可疑文件,已经运行之后就删除了文件,

停止进程:

bash 复制代码
docker stop c70e5c3e6045

删除容器:

bash 复制代码
docker rm 027ccf656dc1

删除镜像:

bash 复制代码
docker rmi 027ccf656dc1

总结

回头看,攻击提醒里居然已经定位到了问题在哪了!真的太厉害了,呼吁各位不要像我一样,折腾这么多新玩意,太容易中招了!

最后发现这个漏洞一直存在

注意!PostgreSQL 存在安全漏洞,请及时更新版本或者停用删除相关服务,防止中招!

精彩推荐
相关推荐
2603_9547083124 分钟前
全维度容错设计,打造微电网安全运行屏障
服务器·网络·数据库·人工智能·分布式·安全
其实防守也摸鱼31 分钟前
蓝队相关知识学习(1)---常用堡垒机和服务器
服务器·功能测试·学习·网络安全·网络攻击模型·攻防对抗·蓝队
IvorySQL1 小时前
从双解析器到循环工程:IvorySQL 五年技术演进路线的深度观察
大数据·数据库·人工智能·postgresql·开源
云飞云共享云桌面3 小时前
单机建模卡顿运维繁琐!中小型机械制造厂云飞云 3D 云桌面落地
运维·服务器·网络·3d·自动化·电脑·负载均衡
湿韵轮回5 小时前
LangChain LCEL,用 | 串联AI的魔法语言
服务器·人工智能·langchain
网络小白不怕黑6 小时前
监控httpd状态
服务器
网络小白不怕黑7 小时前
12.DHCP服务搭建
linux·运维·服务器·网络
日取其半万世不竭7 小时前
云服务器迁移怎么少停机?DNS 切换前后的完整清单
运维·服务器
法外狂徒110 小时前
将 Pi Agent 接入 HagiCode 的实践之路
服务器·前端·人工智能
Dovis(誓平步青云)10 小时前
《精讲Spring Boot后端跑另一个端口:如何解决暴露服务器问题》
服务器·人工智能·spring boot·后端·生成对抗网络