最近一天突然发现公司网络出问题了,时不时就断网,起初行政部门联系网络运营商,以为是他们那边的网络故障,而且刚开始运营商说是光猫可能出故障了,已经在给我们安排发一个新的过来。光猫还没收到,宽带管理人员发现光猫被内网发出的大量数据给卡死的,让我们排查一下内网设备。
于是我们赶紧登录路由查日志,发现路由也会被卡死,在某一段时间内突然发送大量数据到某个IP地址。第一反应是内网机器中毒了,一排查发现是从gitlab服务器发出去的。正好这台服务器平常是我来管理,这下解决这个问题成了我一个人的事,头大。。。
于此同时为了不影响公司网络,在路由器上设置了防止大流量使路由器卡死的情况,如果哪台机器发送流量超过阈值,直接断开该设备网络连接。我赶紧登录服务器,查看情况,首先是确定哪个服务发送出去的,查看各服务进程,发现服务启动的端口与发送时的端口完全不一样,所以只能想办法找一个实时监控流量的软件,后来下载了iftop,运行软件后,发现稍不注意就发送峰值就过去了,因为在路由上限制了后,基本几秒钟就断掉木马发送的数据了。所以还是决定把路由器的设置放开,这样好监测,因为我通过对这台服务器的监测发现之前攻击每次都是持续十分钟左右,而且只是单向向某个IP每秒发送上G的数据,很明显属于DDoS攻击手法。之前也查了开启udp的服务端口,看着也不像。放开之后,终于被我监测到了
当发现到异常时,赶紧在另一个窗口输入命令
lsof -i
来查看当前哪个服务在使用40199和37974端口,果然发现gitag-ssh这个服务在使用,并且是使用udp协议,由于当时着急就没截图,几分钟攻击结束后在截图已经看不到了。但是我看到这个服务名称时就觉得智商被侮辱,git/ag/ssh这特么什么啊,但怕万一杀错进程还是上网搜了一下,完全搜不出来,所以确定就是这个病毒程序。
同时也看到它一直在访问104.233.163.12:10443这个地址,我直接用浏览器打开加端口的地址,发现要输入用户名密码才能进入,之后我去掉端口号,直接用默认80打开,居然能打开。。。。
页面长这样。。。。
我下载了b、bbb、xx三个文件,用文本编辑器打开后长这样
虽然服务器中运行的病毒可能不是bb这个脚本文件里下载的那个,但思路肯定差不多。
于是我赶紧去/tmp文件里看一下,居然在tmp文件里发现了gitag-ssh这个文件,也是git用户所有,这下确定了这个文件就是病毒。
为了弄清楚这个病毒,我又下载了病毒查杀软件clamscan。更新病毒库后查杀。结果如下
至此终于找到了这个罪魁祸首。把病毒输入Google,发现有被中招的服务器系统的命令程序都被修改,所以在你未上传安装原始版本的情况下,用查看端口这样的命令根本显示不出来。
于是乎我赶紧用杀毒软件全盘扫描,虽然查到俩个病毒文件,但都是很久以前下载部署某个系统里的文件,为了安全重命名后放到了单独文件夹里。所以我的服务器目前看没有遭到其他的破坏。也可以确定我的root用户没有被破。之前在首次登录登录root用户时,我就查看了ssh的授权秘钥列表,没发现异常,而且我设置的root用户是不可以密码登录,所以还是有几分保障。(还可用lastlog这样的命令查看系统用户登录信息)
在接下来,需要确定服务器哪里出了问题,被黑客拿到了git用户的权限。我的服务器只部署了gitlab 和 一个内测的软件分发系统,所以我就搜了下gitlab漏洞,结果发现好多条这个
GITLAB 远程命令执行漏洞(CVE-2021-22205)
查看之后我的gitlab版本就是在影响的范围,当时也没具体看这个漏洞是怎么被黑客利用的。只是单纯猜想肯定是拿到git用户的权限了,而且通过查看/var/log/secure日志发现有人一直在暴力破解git ssh登录用户。所以直接屏蔽了外网IP连接ssh的权限。
之后开启升级gitlab系统的漫长之路,根据官方给的路线图,升到13.8.8时,出现了问题,一直报502错误,因为按计划要发测试包,没办法,直接用镜像还原到之前版本。原以为能消停一下,毕竟做了ssh登录限制,没成想第二天晚上又开始作妖,通过路由器日志发现这次只在晚上启动攻击,白天隐匿。
这次查看进程一眼就看出了它,端口号五位数。。。进程名胡乱写的。
禁ssh登录没用后才看了下那个gitlab漏洞原理,发现根本无需盗用或破解gitlab用户密码,太可怕,基本百分百破防。所以必须继续升级才能解决,接下来又是一个漫长的升级过程,且看下一篇《gitlab升级之路》,纪念一下踩过的坑。
本人文笔、技术水平有限,有表述不准确的地方还请各位看官批评指正 !!!
1157
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
