修复 pprof ---node_exproter访问漏洞(go-pprof-leak)

已于 2024-06-20 08:53:21 修改
阅读量451 收藏 1
点赞数 8
分类专栏: Prometheus Golang 文章标签: prometheus go
于 2024-06-20 08:26:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50254029/article/details/139817937
版权

前言:
** 在Go语言中,pprof和debug包是用来检测和避免goroutine泄漏,避免导致goroutine泄漏,进而消耗大量系统资源。不过对于安全而言确又存在一定风险,**

风险:

通过node_exporter web发现 190.168.46.128:9100/debug/pprof
在这里插入图片描述

处理

1、下载node_exporter源码包。
2、在原代码发现node_exporter 版本中均有引用pprof 包,
在这里插入图片描述

3、注释引用,重新编译。
在这里插入图片描述
4、上传服务器,运行即可。

异常记录:

在替换安装包时遇到 ppc64le架构系统,使用常规set amd64格式,报错无法执行二进制文件:cannot execute binary file:

set GOARCH=amd64 //设施系统为amd64
set GOOS=linux //设置为linux系统可以运行文件

解决:
将GOARCH 改为ppc64le重新编译解决。

set GOARCH=ppc64le        //设施系统为amd64
set GOOS=linux  			//设置为linux系统可以运行文件

重新上传解决。

Avatar*
关注
  • 8
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
漏洞复现】Kubernetes PPROF内存泄漏漏洞(CVE-2019-11248)
晚风不及你
01-16 3359
Kubernetes(简称K8S)是Google在2014年开源的一个容器集群管理系统。它用于容器化应用程序的部署、扩展和管理,目标是让部署容器化应用简单且高效。
go-leak:检测Go中的各种泄漏
05-02
go-leak是一个软件包,可以帮助您发现代码中的泄漏。 如果您对如何改进此软件包有任何想法或对它有任何疑问,请通过。 注意:此软件包不再起作用。 它适用于我使用较旧的Go版本的某些用例,但对于> = 1.4,则根本不...
漏洞修复node-exporter被检测出来pprof调试信息泄露漏洞
热门推荐
Meepoljd的博客
06-09 1万+
大概意思是开发者并没有发现pprof会泄漏啥信息,issue提出者使用的是gosec工具做的静态安全扫描,可能产生很多编译期间的误报,然后社区达成一致的结论是和prometheus社区保持一致,转而使用codeql工具。如果实在要解决就按照本文章进行
node-exporter被检测出来pprof调试信息漏洞
TheDreamMaster的博客
07-01 1443
引用Meepoljd的方法编译成功,链接:https://blog.csdn.net/Meepoljd/article/details/131120377。得到的node_exporter-1.6.0.linux-amd64.tar.gz分享给大家。
掌握Go性能优化:使用 net/http/pprof 进行高效性能分析
walkskyer的博客
06-05 911
在高性能的服务器应用开发过程中,性能优化是一个至关重要的环节。是 Go 语言标准库中的一个强大工具,它能够帮助开发者监控和分析应用程序的运行时性能数据,从而定位到可能的性能瓶颈。这个包提供了一个简便的方式,通过HTTP服务器端点收集性能相关的数据,包括CPU使用情况、内存分配情况以及协程的状态等。包能够通过HTTP服务暴露出一系列的调试端点,开发者可以通过这些端点获取程序的实时性能分析数据。这些数据以profile的形式存在,可以使用 Go 语言自带的。
prometheus涉及pprof go信息泄露漏洞整改
abin的博客
09-06 5213
本文记录一下对系统渗透测试后反馈Prometheus涉及pprof go信息泄露,验证方法为http://ip:port/debug/pprof
node-exporter-rule.yml
09-14
prometheus基于linux服务器的监控告警规则,部分进行了汉化
pprof-nodejs:pprof对Node.js的支持
05-13
pprof对Node.js的支持 对Node.js的支持。 先决条件 您的应用程序将需要使用Node.js 10.4.1或更高版本,或任何版本的Node 12或14。 使用Node 10的早期版本时,不应启用事件探查器,因为10.4.1之前的Node.js 10版本...
pprof-ebpf:使用ebpf生成pprof格式配置文件的探查器
05-11
总结来说,`pprof-ebpf`结合了eBPF的强大监控能力与pprof的易用性,为Go语言开发者提供了一种高效且灵活的性能分析解决方案。通过熟练掌握这一工具,你可以更好地理解和优化你的Go应用程序,从而提升其性能和效率。
pprof:pprof是用于可视化和分析配置文件数据的工具
02-28
介绍 pprof是用于可视化和分析配置文件数据的工具。 pprof读取profile.proto格式的概要分析样本的集合,并生成报告以可视化并... 请按照安装go工具并设置GOPATH。 Graphviz: : 可选,用于生成轮廓的图形可视化 要
kube-prometheus 系列1 项目介绍
云原生,DevOps,Kubernetes
08-16 4602
相比于手动安装并配置 Prometheus、Alertmanager、Grafana 等单个组件,使用 kube-prometheus 可以节省部署和管理Prometheus监控生态组件的时间和精力。kube-prometheus 是一个基于 Kubernetes 部署的 Prometheus 和 Grafana 监控系统的完整解决方案,是 Prometheus Operator 的实现之一。整个生态包含诸多组件,为了简化安装部署和配置高可用等,社区开发了kube-prometheus项目。
Wallhaven-4.4.7-Setup.exe
07-06
wallhaven是我很喜欢的一个壁纸网站,但每次都需要把壁纸下载保存再保存,再手动替换,感觉太麻烦了。所以动手写该软件,可以直接浏览网站的壁纸,支持一键设置成壁纸,附加功能是可以定时切换壁纸
液压路障机的设计.doc
07-05
液压路障机的设计.doc
Python项目开发实战:贪吃蛇大作战游戏(案例教程实例课程).pdf
07-05
Python项目开发实战:贪吃蛇大作战游戏(案例教程实例课程).pdf
基于最优思想的钢管订购和运输
07-05
针对问题,在不考虑交换时间、运输安全以及其他潜在影响因素的条件下,规划最优的天然气管道的订购与运输计划需要综合考虑多个因素,包括钢厂的钢管产量与价格、钢管的运输方式及其费用。确保在满足铺设需求的同时实现成本的最小化,我们将采用弗洛伊德算法进行最优路径规划。根据钢厂在指定期限内的生产能力和价格梯度,基于运输距离和钢管数量,计算铁路和公路运输到各个铺设地点的费用。进行路线规划,建立邻接矩阵来表示各个钢厂与铺设地点之间的运输方式及其费用,邻接矩阵中的元素将代表从一个节点到另一个节点的直接运输费用。利用弗洛伊德算法对邻接矩阵进行处理,以找出所有节点之间的最短路径。弗洛伊德算法通过逐步考虑所有节点作为中间节点来更新最短路径。通过迭代更新邻接矩阵中的值,最终得到从任意钢厂到任意铺设地点的最短路径和最小费用。在搜索最优解的过程中,我们将根据给定的钢管数量、运输费用预算以及通过弗洛伊德算法得到的最短路径和最小费用,综合考虑不同钢厂和运输方式的组合搭配,比较不同组合的总成本,选择满足铺设需求且成本最小的最优解。
浅析新收入会计准则对天誉公司收入确认的影响 毕设.docx
07-05
浅析新收入会计准则对天誉公司收入确认的影响 毕设.docx
2024年欧洲建筑娱乐照明市场主要企业市场占有率及排名.docx
07-05
2024年欧洲建筑娱乐照明市场主要企业市场占有率及排名.docx
【后端开发框架】教程&案例&相关项目
最新发布
07-06
【后端开发框架】教程&案例&相关项目
poc-yaml-go-pprof-leak
09-11
根据引用和引用的信息,poc-yaml-go-pprof-leak是一个与pprof定位问题相关的内容。pprof是一个用于性能分析和故障排查的工具,它可以帮助我们定位代码中的问题。通过使用pprof,我们可以获取代码的性能剖析数据,了解代码中的瓶颈和资源泄漏等问题。在引用中提到,虽然一些人可能担心在线上使用pprof会影响性能和存在安全问题,但是在处理问题时,使用pprof来解决问题的好处更大。因此,poc-yaml-go-pprof-leak可能是一个使用pprof来定位代码中资源泄漏问题的实例或教程。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值