阿里云 Ubuntu 服务器还是中了挖矿病毒了

163 天前
dream4ever  dream4ever

今天早上起床看手机,发现阿里云发来一条短信,通知说装了 Ubuntu 的服务器上有包含恶意代码的文件。

上班之后登录阿里云控制台看了一下,发现存在这么一个文件:/usr/lib/ubuntu-advantage/apt_news.py,阿里云的 AI 告警分析功能还解释这个挖矿脚本的所实现的功能。

现在比较好奇的就是这个脚本是怎么被植入服务器的,服务器上运行了 Nginx ,Docker 里跑着 Strapi 和 MySQL 。

安全策略方面,UFW 只开放了业务需要的几个端口,包括常见的 80 、443 、22 ,还有一个网站所需的 8001 ,以及 STMP 服务要用的 587 端口,另外还配置了 fail2ban 。

而且,这台服务器默认禁止了外网 IP 访问,只允许内网的另一台服务器通过上面这些端口访问。

这样的话,感觉 Web 应用层面出了漏洞的可能性比较大?

现在已经配置了 UFW 和 fail2ban 了,还出现了这种情况,有什么别的方法可以检查哪里还有什么漏洞么。

4020 次点击
所在节点   信息安全  信息安全
19 条回复
villivateur
villivateur
163 天前
ssh 禁用密码登录了吗?
ericguo
ericguo
163 天前
补丁打满了? Ubuntu 版本你也没说啊,真的只允许内网的另外一台服务器访问么?你是怎么设置的?
dzdh
dzdh
163 天前
首先,这不是挖矿病毒

起码根据文件路径和文件名看,这就是 ubuntu 的普通的 apt 里塞广告或者检查什么更新的一个脚本。当然并不 100%排除这一定不是挖矿病毒。

最简单的是,你把 ubuntu-advantage 给卸载掉看还有这货没。
dzdh
dzdh
163 天前


刚才看了看,这个文件是 ubuntu-pro 的一部分,如果你没开启 Ubuntu Pro 的功能,可以直接卸载 ubuntu-pro-client 这个包,就可以了。

https://ubuntu.com/pro
zhangshine
zhangshine
163 天前
误报吧
dream4ever
dream4ever
163 天前
@villivateur 禁用密码登录了。
yellowbean
yellowbean
163 天前
应该是勒索或者肉鸡 阿里云那点性能挖不出啥矿
dream4ever
dream4ever
163 天前
@ericguo 一直不知道 Ubuntu 要去哪儿打补丁,主做开发,兼做运维。系统版本是 2204 ,阿里云安全组默认是禁止所有入方向的请求的。
BadFox
BadFox
163 天前
比对一下 hash ,可能是误报。
dream4ever
dream4ever
163 天前
@dzdh
@zhangshine
@yellowbean 把阿里云上提供的有毒源文件下载过来看了看,是个二进制文件,用文本编辑器打开看了看,的确有些可疑。

又看了看 /usr/lib/ubuntu-advantage/apt_news.py 文件的内容,感觉挺正常的。
flyrr
163 天前
@dream4ever 前段时间我也遇到了,我的大概率是 Flink web 面板被提交东西执行了,给我设置了个定时任务,15 分钟下载一次挖矿代码执行。
liaohongxing
163 天前
openssh server 最近爆出 CVE-2024-6387 OpenSSH Server 漏洞, 也不是绝对安全,定期上去 apt update ,apt upgrade ,更新一下
dream4ever
163 天前
@liaohongxing 多谢,我去看看去
zhangshine
163 天前
@dream4ever 上传到 virustotal 扫描下
grady8866
163 天前
这不是病毒吧,我几个 Ubuntu20.04 设备也都有,内容:

```python
#!/usr/bin/python3

from datetime import datetime, timedelta, timezone

from uaclient import apt, log
from uaclient.apt_news import update_apt_news
from uaclient.config import UAConfig


def main(cfg: UAConfig):
if not cfg.apt_news:
return

last_update = apt.get_apt_cache_datetime()
one_day_ago = datetime.now(timezone.utc) - timedelta(days=1)
if last_update is not None and last_update > one_day_ago:
return

update_apt_news(cfg)


if __name__ == "__main__":
log.setup_journald_logging()
cfg = UAConfig()
main(cfg)
```
lucky85984
163 天前
受影响的 OpenSSH 版本
低于 4.4p1 的 OpenSSH 版本容易受到此信号处理程序竞争条件的影响,除非它们针对 CVE-2006-5051 和 CVE-2008-4109 进行了修补。
由于 CVE-2006-5051 的变换补丁,从 4.4p1 到(但不包括) 8.5p1 的版本不再存在此漏洞,该补丁使之前不安全的功能变得安全。
由于意外删除了功能中的关键组件,该漏洞在 8.5p1 至 9.8p1 (但不包括)版本中再次出现。
kenilalexandra
163 天前
把有毒的二进制文件发现呢?
feelinglucky
162 天前
这是 Ubuntu 自己夹带私货,有一说一建议还是用 Debian
AssassinLOVE
156 天前
emmmmm

dpkg -l | grep ubuntu-pro | awk '{print $2}' | xargs apt-get remove --purge -y

逃~

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1056118

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX