Falcon Sensor 在数周前导致 Linux 内核崩溃 恢复工具已推出

于 2024-07-22 18:20:43 发布
阅读量10 收藏
点赞数
文章标签: linux 运维 服务器
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247520157&idx=2&sn=a93459b30ee5e2a9c5d7fde92fbadf1f&chksm=eb8143168b7354c30be3b94e7de262ed45daf09cd1def98bc3564d28a1e3422df372b9a11e8e&scene=126&sessionid=0
版权

b500884dcdac3f48aab036b1e94f082a.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

CrowdStrike 公司如今已变得臭名昭著的 Falcon Sensor 软件在上周导致全球大量 Windows 计算机宕机,而它也曾导致 Linux 机器崩溃。

499e6c5ae2fa1e581eb1844818883123.gif

a8cca7343220727fe190d69044279faa.png

Linux 机器恐慌和崩溃

229b6b0a022f13c69a2bbd38d72bfdb7.png

Red Hat 公司在6月份层提醒客户注意“在falcon-sensor 进程启动 5.14.0-427.13.1.el9_4.x86_64后观测到的内核恐慌”情况,在内核版本5.14.0-427.13.1.el9_4.x86_64启动后一些 Red Hat Enterprise Linux 9.4 客户受到内核恐慌的影响。

该公司还发布另外一个题为“cshook_network_ops_inet6_sockraw_release+0x171a9 处系统崩溃”的问题,建议用户“获取关于 CrowdStrike Falcon Sensor/Agent安全软件套件提供的内核模块 falcon_lsm_serviceable 的潜在问题的调试协助”,并建议“禁用 CrowdStrike Falcon Sensor/Agent 软件套件将在调查期间,缓解崩溃现象并向该系统提供临时稳定性”,“已经注意到该问题但它不仅限于6和7版本。”

另一些报告称,CrowdStrike 疑似也导致 Debian 和 Rocky Linux 出现问题。

Linux 内核恐慌和 Windows 蓝屏死机大致可相提并论。内核恐慌情况在 Windows 蓝屏死机发生的数周前就发生了。CrowdStrike 公司并未就此置评。

9fe8840f390f1803a3c1870338246181.gif

58142f23ad98017f99a7959a08e9b81c.png

逻辑错误是罪魁祸首

7d068ff7d57750c6ed6607e23f0c3a71.png

CrowdStrike 公司表示,在2024年7月19日推送的一个例行传感器配置更新触发逻辑错误,从而导致全球计算机系统蓝屏死机。

该公司提到已经通过更新 Channel File 291的方式修正了该逻辑错误,除此以外并未做出任何其它修改。Falcon 仍在评估和防御 named 管道的滥用。目前该公司仍在分析该逻辑错误如何产生。CISA表示将与各方一起评估影响并提供修复支持。

dcbd462dcaac7e61465510beaec93c68.gif

be3dc2db1aa9dd5016b9b3b013d8f419.png

恢复工具已推出

53fbe620f9c1751ecdaec131d52b6fce.png

CrowdStrike 在上周日透露称将推出快速恢复工具,加速受影响系统的修复速度。有研究人员分析预测,全球约850万台 Windows 机器受影响。

微软也推出了一款从可启动 USB 存储设备运行的修复工具,并提供了相关使用指南。该公司在上周日修改了这些指令,要求完全擦除USB设备,“使其用于恢复过程时不会出错退出。”该工具已发布在https://go.microsoft.com/fwlink/?linkid=2280386。要使用微软的恢复工具,IT员工需要一台至少具有8GB空间的64位客户端,在该设备上的管理员权限,至少1GB存储空间的USB驱动以及Bitlocker恢复密钥(如需)。值得注意的是,需要32GB或以下的 USB 闪存驱动,以免无法通过 FAT 32进行格式化,而这是启动驱动所必须的。该恢复工具通过从微软下载的一个 PowerShell 脚本而创建,需要以管理员权限运行。在运行时它将格式化 USB 驱动并创建自定义的 WinPE 镜像,之后被复制到驱动并使其可启动。该批量脚本将提示用户输入必要的 Bitlocker 恢复密钥。之后将在文件夹C:\Windows\system32\drivers\CrowdStrike中查找 CrowdStrike 内核驱动,如检测到则会自动删除。测试发现,该批量文件将不会创建 CrowdStrike 驱动的日志或脚本。脚本运行完成后,将提示用户按下任何键,设备就会重启。驱动删除后,设备应该会返回 Windows 并可用。不过 Windows 管理员的最大障碍是检索任何所需的 Bitlocker 恢复密钥。因此,判断是否需要这些密钥以及如何恢复应该是尝试恢复设备的第一步。

CrowdStrike 公司发布了该事件的技术详情,还提供了如何恢复通过 BitLocker 加密的 Windows 机器。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

关于CrowdStrike 使 Windows 蓝屏死机,你需要知道的都在这里

NSS 实验室以反托拉斯名义起诉赛门铁克 CrowdStrike 等巨头

CrowdStrike推出网络安全搜索引擎

原文链接

https://www.theregister.com/2024/07/21/crowdstrike_linux_crashes_restoration_tools/

https://www.securityweek.com/crowdstrike-says-logic-error-caused-windows-bsod-chaos/

https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-windows-repair-tool-to-remove-crowdstrike-driver/

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

010dfb25232ea71300f427dbd4328a34.jpeg

b1ad3941b6271480355d541d526833fa.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   9d4bb919552846739ce5611e093d7066.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux内核系统日志(详细版)
m0_46419643的博客
03-05 1781
Linux,Ubuntu,Centos和Red Hat Enterprise Linux(RHEL),它们共同的Linux核心意味着这些操作系统都安装了日志框架来监视系统及其服务。Linux日志框架包括一组管理员可以使用的目录、文件、服务和命令。
ansible_collection_falcon:-正在开发中–通过Ansible在Linux,Windows和OSX上安装和配置CrowdStrike的Falcon传感器
02-19
该集合致力于在Linux平台上下载,安装和删除CrowdStrike的Falcon传感器。 Windows和OSX即将推出。 安装 要从Ansible Galaxy安装集合,请执行以下操作: ansible-galaxy collection install crowdstrike.falcon 剧本...
【网络安全】CrowdStrike 的 Falcon Sensor 软件导致 Linux 内核崩溃
最新发布
par@ish的博客
07-22 824
CrowdStrike的Falcon Sensor软件,上周导致大量Windows电脑出现蓝屏故障,现在还被发现Linux内核系统崩溃也与CrowdStrike有关。六月份,Red Hat警告其客户在使用版本为5.14.0-427.13.1.el9_4.x86_64的内核启动后,由Falcon Sensor进程引发的“Kernel panic”问题,影响了部分Red Hat Enterprise Linux 9.4用户。
linux新增内核,为已安装好的 Linux 系统新增一个内核模块
weixin_36102010的博客
04-30 166
By Falcon of TinyLab.orgDec 10, 2019背景简介有一个具体的需求:那就是 docker for mac 的内核没有编译进 minix 内核模块,导致 Linux 0.11 Lab 在这种情况下无法挂载 minix 的文件系统。所以,得根据用户内核的情况,单独去编译这个内核模块。这里简单介绍一下,如何快速下载相应的模块源码,并在 host 下编译。安装 linux h...
linux学习笔记 linux内核6.0.2目录结构
学以致用 知行合一
10-27 1698
包含和硬件体系结构相关的代码,每种平台占一个相应的目录,如i386、arm、arm64、powerpc、mips等。Linux内核已经支持30种左右的体系结构。在arch目录下,存放的是各个平台以及各个平台的芯片对Linux内核进程调度、内存管理、中断等的支持,以及每个具体的SoC和电路板的板级支持代码。块设备驱动程序I/O调度。使系统密钥环依赖于内置的 x509 解析器常用加密和散列算法(如AES、SHA等),还有一些压缩和CRC校验算法。内核各部分的通用解释和注释。
collision_sensor.rar_falcon
09-24
本篇文章将围绕"collision_sensor.rar_falcon"这个主题,深入探讨如何在Falcon平台上利用h3dapi实现高效的碰撞传感器功能。 首先,我们来了解一下"Falcon_"这个标签所代表的含义。Falcon通常指的是一个高性能的计算...
FALCON采用LINUX.pdf
09-07
本文主要介绍了FALCON测试系统采用Linux操作系统的情况,以及在汽车电子芯片测试领域的应用。汽车电子芯片对测试有着严格的要求,包括在不同环境条件下的功能和质量验证,以及应对复杂多样的功能集成,如微处理器、...
深度防御:CrowdStrike Falcon检测Linux服务器OGNL注入漏洞全攻略
07-21
4. **技术优势**:CrowdStrike因其在检测和防御高级网络攻击方面的能力而闻名,其软件被包括微软、亚马逊AWS在内的一些最大的云服务公司提供商所使用,也包括主要的全球银行、医疗保健和能源公司。 5. **产品能力**...
小米监控工具open-falcon安装包.zip
03-15
【小米监控工具open-falcon安装包】 open-falcon是一款由小米公司开源的、适用于大规模分布式系统监控的平台,它能够实时收集、传输、存储和展示各类运维数据,为企业的IT基础设施提供全面的健康检查和性能监控。...
Linux -软件安装
z2331198564653的博客
07-18 877
项目开发好需要部署,而项目本身可能依赖其他软件。这时在部署项目时就需要安装依赖的软件。比如: jdk mysql tomcat redis rabbitmq es等。
Linux中的环境变量
qhy850716的博客
07-17 564
我们思考这样一个问题:指令也是可执行程序,我们写好的编译好的c语言也是程序,为什么我们在执行c语言程序时要./a.out带上当路径,而ls这种指令就不要带路径呢?这就是环境变量PATH的作用,Linux中存在一些全局设置,表明命令行解释器应该去哪个路径下寻找可执行程序。系统中的很多配置在我们登录Linux时就已经被加载到bash中了,也就是内存。
linux学习笔记整理: 关于linux:Shell脚本 2024/7/20;
gzx233的博客
07-20 852
Shell脚本的使用
Linux服务器Java环境搭建】010在linux中安装Redis,以及对Redis的配置与远程连接
liuzhenhe1988的专栏
07-19 965
好久没有更新博客了,今天下了班回到家,看到电脑桌上尘封已久的《Spring Boot应用开发实战》,翻开目录想起来之写的系列【Linux服务器Java环境搭建】还未完结,那就继续吧,今天主要是按linux服务器中安装和配置redis。本系列其他文章,请查看系列【Linux服务器Java环境搭建】
Linux 权限
includemainprinf的博客
07-18 674
Linux操作系统中,权限管理是一个至关重要的概念,它确保了系统的安全性和稳定性。同时可以在工作中,设置对象的权限,就算我们很多人使用一台服务器,我们也可以让别人看不到我们文件的内容,或者让别人无法对自己的文件进行操作!
Linux(CentOS7)部署PHP-7.2.17源码包
thetender的博客
07-18 1120
LAMP系统安装 通过PHP的源码包部署PHP-7.2.17版本
Linux】深入探索`cp`命令:文件复制的全面指南
lph159的博客
07-18 384
cp命令用于复制文件或目录的内容。cp [选项] 源文件 目标文件或目录使用cp命令可以在文件系统中创建新的副本,无论是单个文件还是整个目录树。接下来我们将详细介绍cp命令的各个选项及其用法。
Linux HOOK机制与Netfilter HOOK
Flashing-C的博客
07-18 770
在计算机中基本所有的软件程序都可以通过hook方式进行行为拦截,hook方式就是改变原始的执行流。 Linux常见的HOOK方式:1、修改函数指针。2、用户态动态库拦截。①利用环境变量LD_PRELOAD和预装载机制进行HOOK;②利用函数ptrace可实现对已运行的程序进行HOOK;3、内核态系统调用拦截。通过修改全局系统调用表,对系统调用进行劫持;4、堆栈式文件系统拦截。5、LSM。6、Netfilter HOOK。
Linux上的系统服务——DNS、WEB、NFS 和 AutoFS 服务的详细配置步骤
qq_68600196的博客
07-17 724
现有主机 node01 和 node02,完成如下需求:1、在 node01 主机上提供 DNS 和 WEB 服务2、dns 服务提供本实验所有主机名解析3、web服务提供 www.rhce.com 虚拟主机4、该虚拟主机的documentroot目录在 /nfs/rhce 目录5、该目录由 node02 主机提供的NFS服务共享6、该目录可以通过autofs服务实现自动挂载7、所有服务应该在重启之后依然可以正常使用。
Alibaba Cloud Linux release 3 (Soaring Falcon)
07-27
阿里云Linux 3(Soaring Falcon)是一款由阿里云推出Linux操作系统发行版。它是基于CentOS 7.x版本进行优化和定制的,具有高度的稳定性和可靠性。 阿里云Linux 3(Soaring Falcon)提供了丰富的功能和工具,包括安全性增强、性能优化、弹性计算、容器化支持等。它还集成了阿里云的一些核心服务和工具,使用户能够更方便地在阿里云平台上进行开发和部署。 此外,阿里云Linux 3(Soaring Falcon)还提供了全面的技术支持和更新服务,以确保用户能够获得最新的安全补丁和功能更新。 总的来说,阿里云Linux 3(Soaring Falcon)是一款成熟、可靠的Linux操作系统,适用于各种场景下的应用开发和部署。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值