【漏洞修复】node-exporter被检测/debug/vars泄漏信息漏洞

最新推荐文章于 2024-05-11 15:38:36 发布
最新推荐文章于 2024-05-11 15:38:36 发布
阅读量2.5k 收藏 1
点赞数 1
分类专栏: Golang 文章标签: golang web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Meepoljd/article/details/131794675
版权

node-exporter被检测/debug/vars泄漏信息漏洞

漏洞说明

和之前的pprof类似,都是国产的安全工具扫出来的莫名其妙的东西,这次也是报的node-exporter存在这个漏洞,又归我处理。当访问node-exporter的/debug/vars路由时能获取程序的部分运行时信息,如下:
在这里插入图片描述
这是因为在代码中导入了expvar包,只要导入了这个包就会自动的产生 一个/debug/vars路由。

修复方法

对于node-exporter,本身的代码中是没有引入expvar包的,但是node-exporter引用了github.com/prometheus/client_golang/prometheus包,在prometheus包的expvar_collector.go中有引用expvar包,因此我们要去修改这里。

为了能够顺利进行修改,我们这个时候首先使用以下命令把依赖库的代码下载到我们的项目目录中:

go mod vendor

然后我们可以直接把expvar_collector.go删了,重新编译node-exporter即可。

问题已经解决,在此记一下,也分享给需要的同学。

Meepoljd
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Prometheus:监控与告警:7: Node Exporter采集机器监控信息
知行合一 止于至善
01-14 3013
前面的文章介绍了Exporter在Prometheus中的概念和使用方式,这篇文章以Node Exporter为例来介绍一下如何在Prometheus中采集机器的CPU使用率、磁盘IO、内存使用率和网络状况等。
node-exporter-rule.yml
09-14
prometheus基于linux服务器的监控告警规则,部分进行了汉化
漏洞修复node-exporter检测出来pprof调试信息泄露漏洞
Meepoljd的博客
06-09 1万+
大概意思是开发者并没有发现pprof会泄漏信息,issue提出者使用的是gosec工具做的静态安全扫描,可能产生很多编译期间的误报,然后社区达成一致的结论是和prometheus社区保持一致,转而使用codeql工具。如果实在要解决就按照本文章进行
node-exporter检测出来pprof调试信息漏洞
TheDreamMaster的博客
07-01 1337
引用Meepoljd的方法编译成功,链接:https://blog.csdn.net/Meepoljd/article/details/131120377。得到的node_exporter-1.6.0.linux-amd64.tar.gz分享给大家。
漏洞防范与应对:从发现到修复的全攻略】Prometheus Pushgateway推送网关 存在未授权访问漏洞 ,处理过程详解!!!
最新发布
大唐有趣的小胡.
05-11 1207
本文详细介绍了Prometheus Pushgateway推送网关存在的未授权访问漏洞及其处理过程。该漏洞允许未经授权的用户访问Pushgateway,可能导致敏感信息泄露或系统被恶意利用。文章首先分析了漏洞产生的原因,然后给出了具体的处理步骤,包括限制访问权限、更新配置文件、重启服务等。同时,强调了及时修复漏洞的重要性,并提供了防范类似漏洞的建议。通过本文的指南,读者可以了解如何发现并应对Prometheus Pushgateway推送网关的未授权访问漏洞,确保系统的安全性和稳定性。
使用prometheus监控node_exporter告警案例
赣江
03-06 3710
测试案例: 1.使用node_exporters监控文件夹,文件夹内部文件由用户自己输入,为方便看prometheus的图表效果,写了个自动生成脚本gen.sh,用于每隔固定时间生成一个记录。 2.用户开始测试时,手动输入metrics,用于演示alter从 inactive->Pending->Firing 同时,可以演示在altermanager中接收到alter告警。 具体步骤...
InfluxDB 未授权访问 漏洞复现
Senimo
07-15 4417
InfluxDB 未授权访问漏洞一、漏洞描述二、漏洞影响三、漏洞复现1、环境搭建2、漏洞复现四、漏洞POC参考链接 一、漏洞描述 InfluxDB 是一个开源分布式时序、时间和指标数据库,使用 Go 语言编写,无需外部依赖。其设计目标是实现分布式和水平伸缩扩展,是 InfluxData 的核心产品。其使用 jwt 作为鉴权方式。在用户开启了认证,但未设置参数 shared-secret 的情况下,jwt 的认证密钥为空字符串,此时攻击者可以伪造任意用户身份在 InfluxDB 中执行SQL语句。 二、漏洞
配置node_exporter
weixin_58131623的博客
03-17 3644
CentOS7安装并配置node_exporter
PROMETHEUS安全漏洞分析
yua7190的博客
09-06 4845
Prometheus是一套开源的监控、告警、时间序列数据库的组合工具。与Kubernetes由Google内部Borg系统演变而来相似,Prometheus由Google内部的Borgmon[6]监控系统演变而来,最初在2012年由前Google工程师Matt T. Proud于SoundCloud[5]进行研发使用并在短时间内迅速受到业界广泛认可,后于2015年初在GitHub上开源,目前已有42.2K的Star数和7.1的Fork数。
关于node_exporter收集服务器信息,传送给prometheus,时常断连,报错connect:connection refused
weixin_42963678的博客
04-07 1622
上报错图 在我搭建完服务之后,时常出现这种问题,断连 然后去服务器上重启进程之后,就恢复了 于是我开始排查到底哪里出问题 最后发现,原来是因为我自己很傻逼,linux基础知识不到位 我的启动命令 ./node_exporter & &这个命令是后台挂起,shell关闭了,进程就会停止。而我们的服务器限制了连接时间,所以我的shell到了一定时间就会被断开,于是node_exporter就一起被停掉了。 我是时候找个厂上班了 ...
K8S主机Prometheus监控node-exporter资源清单及镜像文件
12-29
原文链接:https://blog.csdn.net/m0_37814112/article/details/122170537 说明:上述资源包括部署清单文件、镜像文件、告警规则文件
浅谈Node.js CVE-2017-14849 漏洞分析(详细步骤)
10-19
主要介绍了浅谈Node.js CVE-2017-14849 漏洞分析(详细步骤),小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
node_exporter
04-18
Exporter for machine metrics We provide precompiled binaries and Docker images for most officially maintained Prometheus components. If a component is not listed here, check the respective repository on Github for further instructions. 其实就是为了各个组件上传到普罗米修斯之后到数据格式是统一的,一个数据接受及其发送器
K8S监控宿主机资源node-exporter镜像及资源清单文件
12-27
原文链接:https://blog.csdn.net/m0_37814112/article/details/122170537
bitnami-docker-node-exporter:用于Node_exporter的Bitnami Docker映像
03-25
DR $ docker run --name node-exporter bitnami/node-exporter:latest为什么要使用Bitnami Images? Bitnami密切跟踪上游源代码变化,并使用我们的自动化系统及时发布该图像的新版本。 对于Bitnami映像,将尽快提供...
ansible-node-exporter:为Prometheus监视工具提供基本指标导出器
01-31
作为参数,它使用一个目录,在该目录node_exporter二进制文件存储在运行node_exporter主机上。 这将覆盖node_exporter_version参数 node_exporter_web_listen_address “ 0.0.0.0:9100” 出口者将在其上侦听的...
漏洞复现】Grafana任意文件读取漏洞(CVE-2021-43798)
热门推荐
qq_45244158的博客
12-09 1万+
Grafana 任意文件读取漏洞复现(CVE-2021-43798)
vulhub漏洞复现28_Influxdb
weixin_44193247的博客
02-02 713
vulhub漏洞复现练习篇
CVE-2021-43798Grafana 8.x任意文件读取漏洞 复现
weixin_45715461的博客
07-12 804
CVE-2021-43798Grafana 8.x任意文件读取漏洞 复现
node-exporter 0/1 - - * <unknown> <unknown>
06-10
根据你提供的信息,`ceph orch ps` 命令显示了node-exporter的状态为0/1,说明node-exporter没有成功部署。 首先可以尝试使用 `ceph orch ls` 命令查看集群状态,确保所有的节点都处于“HEALTH_OK”状态。如果集群状态不正常,需要先解决集群问题。 如果集群状态正常,可以尝试使用 `ceph orch apply` 命令重新部署node-exporter服务。具体命令如下: ``` ceph orch apply node-exporter ``` 如果重新部署后仍然无法启动node-exporter,可以查看 `/var/log/node_exporter.log` 日志文件,确认是否有错误信息。如果有错误信息,根据错误信息进行排查和修复。 另外,还可以尝试使用 `systemctl status node_exporter` 命令查看node-exporter服务的状态,确认是否正在运行。如果服务没有运行,可以使用 `systemctl start node_exporter` 命令手动启动服务。 希望以上信息对你有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Meepoljd

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值