gitlab漏洞导致服务器被植入挖矿程序

最新推荐文章于 2024-06-28 17:52:46 发布
最新推荐文章于 2024-06-28 17:52:46 发布
阅读量3.5k 收藏 5
点赞数 2
分类专栏: Linux 文章标签: linux gitlab
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013662310/article/details/121655290
版权

记一次安全告警事件的处理

服务器上gitlab又被利用来挖矿
挖矿程序xmrig:
图1

在蜜罐社区,安全威胁情报周报(21.11.13~21.11.19)看到捕获的gitlab漏洞GitLab rce (CVE-2021-22205)
影响的 GitLab版本:
11.9 <= GitLab(CE/EE)< 13.8.8
13.9 <= GitLab(CE/EE)< 13.9.6
13.10 <= GitLab(CE/EE)< 13.10.3

  • 1.查看当前版本,恰巧在受影响版本范围
    rpm -qa|grep gitlab
    当前版本为12.10.1
  • 2.手动备份:
    vim /etc/gitlab/gitlab.rb
gitlab_rails[‘manage_backup_path’] = true
gitlab_rails[‘backup_path’] = “/mnt/gitlab/backups”  (备份目录)
gitlab_rails[‘backup_archive_permissions’] = 0644    (生成的备份文件权限)
gitlab_rails[‘backup_keep_time’] = 604800            (备份保留7天 60*60*24*7)

 mkdir -p /mnt/gitlab/backups
 chown -R git.git /mnt/gitlab/backups
 chmod -R 755 /mnt/gitlab/backups
  • 重载gitlab配置文件,使上述修改生效。
 gitlab-ctl reconfigure
  • 手动备份命令
 gitlab-rake gitlab:backup:create
  • 3.升级gitlab
  • 配置yum源
vim /etc/yum.repos.d/gitlab-ce.repo

[gitlab-ce]
name=gitlab-ce
baseurl=https://mirrors.tuna.tsinghua.edu.cn/gitlab-ce/yum/el8/
repo_gpgcheck=0
gpgcheck=0
enable=1
gpgkey=https://packages.gitlab.com/gpg.key
  • 按照官方指定的升级路径逐个版本的升级,已得知当前版本为12.10.1,决定最终升级到13.12.10。
    在这里插入图片描述
    逐个执行命令
 yum install -y gitlab-ce-12.10.14
 yum install -y gitlab-ce-13.0.14
 yum install -y gitlab-ce-13.1.11
 yum install -y gitlab-ce-13.8.8
 yum install -y gitlab-ce-13.12.10

在这里插入图片描述
到此gitlab升级完成。

参考文章:https://segmentfault.com/a/1190000040986338?utm_source=sf-similar-article

闻刀起舞
关注
专栏目录
挖矿记录+解决方案:利用GitLab组件对服务器进行挖矿导致CPU占用200%
作者的博客园已搬家到CSDN,访问博客园主页将默认跳转至CSDN
07-13 1689
服务器挖矿是指利用云服务器从事赚取比特币的活动。比特币是一种虚拟数字货币,挖矿是将一段时间内比特币系统中发生的交易进行确认,并记录在区块链上形成新区块的过程。用于挖矿的计算机一般有专业的挖矿芯片,多采用安装大量显卡的方式工作,耗电量较大。计算机下载挖矿软件,然后运行特定算法,与远方服务器通讯后可得到相应比特币。说白了,就是利用你的服务器硬件资源为他本人干一些。
挖矿程序的处理方式及步骤
LeeKwen的专栏
04-16 3875
概述 随着币圈市场交易的活跃,币价也被日益推高。 从BTC兑美元的在线交易平台上可以看出,BTC的价格屡创新高,这与MG的2W亿脱不了干系。 “重赏之下,必有勇夫”,在互联网圈里也同样适用啊。 所以服务器植入挖矿程序已经不是很稀奇的事情了,很多服务器因为漏洞、弱密码、禁用防火墙等等举措,而被做了提权后,置入了挖矿程序。 如果你接收到阿里云类似于挖矿程序的报警,那就不要慌。借用一句话就是:“遇事不要慌,先拍照,发个朋友圈”。 挖矿程序的处理方式 以下,简单地说一下遇到挖矿...
Gitlab远程代码执行漏洞(CVE-2021-22205)在野利用,8220挖矿团伙最新变种分析
ZL_1618的博客
08-17 393
近日,阿里云安全监测到Gitlab远程代码执行(CVE-2021-22205)在野利用,其团伙不仅利用4层协议服务进行入侵,还集成了使用比较广的WebRCE漏洞,最终通过持久化方式进行挖矿、木马后门维持,对用户主机资源、资产产生不良危害,通过攻击手法、文件命名自动确认为8220挖矿团伙最新变种。阿里云安全持续对最新变种进行监控,发现至10月21日后传播有所上升,11月4日发现利用Gitlab远程代码漏洞进行入侵,提醒广大企业客户注意防护。
GitLab 严重漏洞导致攻击者以任意用户身份运行管道
最新发布
smellycat000的专栏
06-28 225
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士GitLab 社区版和企业版的某些版本受一个严重漏洞 (CVE-2024-5655) 影响,可被攻击者用于以任何用户身份运行管道。GitLab 是一款基于 web 的热门开源软件项目管理和工作跟踪平台,活跃的许可用户数量约100万人。该漏洞的CVSS评分为9.6,在一定条件下可被攻击者以其它用户身份触发管道。GitLab 管道是CI/CD系统的一...
gitlab-ce-12.3.5 挖矿病毒及解决方案
cm777的博客
11-09 1286
最近发现在使用gitlab提交代码的时候总是失败,一访问gitlab还时常报503,于是使用 'top' 命令查看了内存占用情况,发现了一个git进程内存使用了2.3g,cpu还一直占用300-400%本文主要内容为怎么排查gitlab-ce漏洞引起的挖矿病毒以及如何彻底杀死,为读者提供一个在不能及时升级gitlab-ce版本的情况下的应急解决方案。网上看了很多篇文章,发现讲的解决方案都不清晰,也都没有讲明白如何杀死或处理,因此提供一篇,希望能帮助到同行朋友。
腾讯云服务器被攻击使用的命令,gitlab因为没有设置redis密码导致植入挖矿程序
阿俊的博客
04-24 426
cd /var/lib/docker/overlay2/73b322dfc2c40a458f3d9a0c5d1691bb3ca013adcb76431e5d759b82e3a2c4e1/merged/tmp 进入挖矿程序目录。ps -aux | sort -k3nr | head -5 查询最近运行的程序,其中包含了spreadtop。腾讯云服务器被攻击使用的命令,gitlab因为没有设置redis密码导致植入挖矿程序。强烈建议关闭自带的redis,使用自有redis服务,参考。
gitlab 挖矿病毒处理
MrLee的博客
06-13 1592
利用GitLab ExifTool RCE 漏洞执行挖矿脚本影响的 GitLab版本:11.9
阿里云服务器挖矿程序侵入问题
samfaker的博客
08-23 1312
gitlab漏洞引起的无文件、无定时任务的挖矿程序解决方法
jenkins漏洞导致服务器中了挖矿病毒!cpu飙高351%!看我如何消灭它!
架构师小秘圈
05-14 5757
作者:SilentBillows,资深Java工程师,架构师小秘圈特约作者!欢迎大家投稿,在后台回复投稿即可!一, 定位问题1.发现cpu异常,查看对应的进程信息[roo...
centos6.8服务器中了挖矿程序病毒的解决方法
emtit2008的专栏
09-04 931
阿里云提示我的centos服务器出现紧急安全事件:挖矿程序;同时也出现服务器异常登录事件。 出现这样的情况,需要根据以下的步骤去处理 第一步:修改登录的帐号密码,输入命令passwd,根据提未修改。 第二步:禁用可疑的IP,阿里云会有一些IP提示,先把异常登录的IP禁用;命令如下 iptables -I INPUT -s 68.183.140.39 -j DROP //禁用指定的IP ...
Devops-day1-Git+GitLab介绍及使用
作者的博客园已搬家到CSDN,访问博客园主页将默认跳转至CSDN
04-28 2268
​ 软件开发生命周期又叫做 SDLC(Software Development Life Cycle),它是集合了计划、开发、测试 和部署过程 的集合。
GitlabGitlab挖矿病毒处理
不纯正的逼格的专栏
12-21 141
出现一个占用cpu极高的进程,kill 并删除后,又会自动出现(大概率为定时任务)。利用GitLab ExifTool RCE 漏洞执行挖矿脚本。# rm -rf /tmp/病毒文件。查询定位后发现用户为git。3,gitlab打补丁包。2,清除挖矿进程文件。
linux 服务器CPU被挖矿的一个解决方法
m0_51789083的博客
04-04 2148
发现 敲代码的时候阿里云来了个电话,说你的服务器疑似挖矿,还发了个邮件, 人直接懵了,就去阿里云看看,一看cpu直接一直100%, 开始的时间是十一点二十多(这个时间很重要,是解决问题的一个关键) 还发了安全警告 解决过程 上网查解决方法,然后发现应该是我的redis开发端口后没设密码就被这种无目的攻击给整到了,然后有个解决方法说是删除挖矿病毒crypto和pnscan文件,附上链接,我这只搜到了pnscan,删掉后网络使用率就直接变成正常的了,但是cpu使用率还是很高,就进入服务器使用top命令查看哪
GitLab 严重漏洞在野被广泛利用,企业需立即自查
qq_53058639的博客
10-21 628
4.1 事件总结本次事件是通过免费社区蜜罐 HFish、OneEDR 在收集终端的进程、网络、文件等系统行为发现的,通过 OneEDR的智能关联功能,可了解到安全事件的上下文以及主机、账号、进程等信息,通过“进程链”快速掌握事件的影响范围以及事件的概括,从而精准溯源。HFish 是一款基于 Golang 开发的社区免费蜜罐,可提供多种网络服务和 Web 应用模拟。OneEDR。
Linux害虫落马记
linux硬派运维
04-04 841
作者:田逸(vx:formyz) 江湖救急,一老友告知,一运行Gitlab的主机负载很高,并且把整个出口带宽都耗尽了,希帮忙处理。根据经验,直接答复“很可能被挖矿了”。在取得系统权限以后,登录到该系统。 查看系统进程,除了发现挖矿进程“xmrig”外,还有两个命名怪异的进程“diofiglos”与“cacascqw”。试着用kill指令绞杀挖矿进程“xmrig”,杀掉一个又再启动一个,无法消灭之。是不是有自动任务在时刻在探测挖矿进程是否处于运行状态呢?查看Crond配置,未有发现。 该系统
记一次服务器被木马注入攻击
weixin_44235608的博客
01-26 3597
服务器 木马 注入 攻击 排查
漏洞预警:GitLab 权限泄露漏洞
weixin_34023863的博客
06-02 1648
漏洞概述 GitLab 是一个使用 Ruby on Rails 开发的开源应用程序,实现了一个 Git 仓库管理平台,可通过 Web 界面进行访问公开的或者私有的项目。在企业中得到的广泛的使用。近日研究者发现在其多个版本中存在用户多项敏感信息泄漏漏洞,攻击者可以通过这些漏洞来获取相应的用户权限,危害严重。 漏洞详情 当修改任务的分配者信息的时候,API ...
gitlab远程漏洞版本升级修复
qq_41411704的博客
11-05 1170
一【华为云远程漏洞预警通知】 一、概要 近日,华为云关注到Gitlab官方在2021年4月14日发布的安全更新公告中披露的Gitlab远程命令执行漏洞(CVE-2021-22205)在互联网上已出现在野攻击利用。由于Gitlab没有正确验证传递给解析器的图像文件,攻击者利用漏洞上传专门制作的图像文件可导致执行远程代码执行,目前漏洞POC已公开,风险较高。 GitLab 是一款基于 Git 的完全集成的软件开发平台。华为云提醒使用GitLab的用户尽快安排自检并做好安全加固。 参考链接:https://abo
windows挖矿程序下载
07-27
- *1* [服务器是如何被植入挖矿程序的](https://blog.csdn.net/u014294325/article/details/106340131)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值