所幸应用部署在k8s集群,对宿主机无影响,并且pod有资源限制,没有导致资源占用过高.
开始怀疑是基础镜像问题,但检查基础镜像dockerfile,没有发现可疑脚本下载命令,也使用docker inspect imageId查看也没有什么异常,使用的openjdk8官方最新镜像,出问题概率基本排除.那就只能怀疑springboot应用了,通过阿里云漏洞告警提示的镜像容器id查到时spring cloud gateway服务,谷歌查询得知我们的spring cloud gateway 3.0.4确实有漏洞,而且启用了Actuator,还把一些不安全的端点暴露到公网了.
漏洞详情
当Spring Cloud Gateway启用和暴露 Gateway Actuator 端点时,使用 Spring Cloud Gateway 的应用程序可受到代码注入攻击。攻击者可以发送特制的恶意请求,从而远程执行任意代码。
漏洞名称:Spring Cloud Gateway 远程代码执行漏洞
漏洞编号:CVE-2022-22947
危害等级:高
影响范围
受影响版本
- Spring Cloud Gateway < 3.1.1
- Spring Cloud Gateway < 3.0.7
- Spring Cloud Gateway 旧的、不受支持的版本也会受到影响
安全版本
- Spring Cloud Gateway >= 3.1.1
- Spring Cloud Gateway >= 3.0.7
解决方案
目前, Spring Cloud 官方已发布安全更新,请及时下载安全版本进行升级和采取以下措施进行防护:如果不需要Actuator端点,可以通过management.endpoint.gateway.enable:false配置将其禁用;如果需要Actuator端点,则应使用Spring Security对其进行保护。
我们将Spring Cloud版本升级为到安全版本即可,同时我们因为要使用Actuator的探针结合k8s来做应用健康状态检测,所以就把management和应用端口区分开,应用端口对外暴露,但management端口只在k8s集群内部,以此来保证安全.
management:
server:
port: 和服务端口区分开
endpoint:
health:
probes:
enabled: true
如果你应用部署在宿主机,那么需要把挖矿脚本删掉,并把脚本创建的crontab清理掉
$ find / -name "*kdevtmpfsi*"
# 删除掉中间文件
$ rm -rf /tmp/kdevtmpfsi
# 查看可疑定时任务
$ crontab -l
# 修改删除挖矿脚本的定时任务
$ crontab -e