快讯 必看 热点 智慧 焦点 观看 推荐 趣味 百态 即时 精选 要闻 追踪 新事 最新 社会 荐闻 一周 视野 综合 滚动 围观 点击 数据 新知 分享 深度 真相

真相

一次服务器被入侵的处理经过

来源:http://www.hgfx0088.com编辑:漫展网_互联网资讯_科技资讯 人气: 发布时间:2019-07-22
摘要:某日发现部署在服务器上的一个容器被停掉了,开始以为是同事误操作停止或删除了。 但登录服务器重新启动容器的时候发现一个奇怪的现象:容器启动后几秒钟便会自动停止。 但是查看容器日志并未得到任何错误信息,而且该容器镜像已在其它服务器稳定部署运行,

  某日发现部署在服务器上的一个容器被停掉了,开始以为是同事误操作停止或删除了。

  但登录服务器重新启动容器的时候发现一个奇怪的现象:容器启动后几秒钟便会自动停止。

  但是查看容器日志并未得到任何错误信息,而且该容器镜像已在其它服务器稳定部署运行,应该不会有bug。

  查看磁盘剩余量还比较多,但是在用top命令查看CPU和内存的时候发现了异常:某个进程CPU使用率达到了99%。

  当然这种情况对于我们公司的服务器来说也不是什么特别惊奇的事,因为我们通常会在服务器上执行一些计算任务,占用大量CPU也是很正常的事情。

  但由于这台服务器除了我几乎没有其他同事使用,而且进程命令行看不到,所以引起了我的怀疑。

  果然建立一个连接,天佑中学指向 5.196.26.96 这个IP地址。在 查询一下该IP地址,指向国外某地。

  进一步验证了我的猜测。因为国内的服务器有严格的备案管理机制,所以很多攻击者都会将服务器部署到国外。

  挖矿程序一般都是由木马下载脚本然后执行,所以用history命令检查一下下载行为。

  为了进一步排除可能有其它病毒程序作为守护进程定时启动或者开机启动挖矿进程,检查一下crontab配置信息。

  据管理员说平时这台服务器很少使用,而且使用的是强密码,密码泄露的可能性很小。

  再结合我部署的容器停止时间进行分析,应该是在我部署完成后几小时内服务器被入侵的。

  上docker hub上搜索这些镜像,都找不到Dockerfile,也无readme之类的说明。而且上传时间都很新,但是下载量增长却很快。

  这就奇怪了,这种既无说明,命名也十分怪异的镜像竟然会被多次下载,所以可以推断就是黑客上传的携带木马的镜像。

  再利用docker inspect命令查看这些容器,发现该容器并没有通过挂载目录的方式写入系统文件,天佑中学而是会执行一个 mac.sh 的脚本文件。

  现在发现不止一个黑客入侵了服务器,有的黑客部署了挖矿容器,有的黑客部署了挖矿进程并删除了记录。

  我在部署容器的时候启动 Docker remote API 服务,很可能这个服务暴露到了公网上,立即在浏览器中输入服务器IP地址和对应端口,果然可以访问!

  原来服务器运营商并没有提供默认的防火墙服务,机器上的端口是直接暴露在公网上的。

  黑客入侵的途径也基本上可以猜测了,通过 Docker remote API 服务器操作容器,将带有挖矿进程的容器部署到服务器上。

  网络安全其实是一个很重要的课题,但是开发人员很多时候都缺乏对其足够重视。

  比如本例中肯定是扫描到本服务器的 2375 端口(2375是Docker remote API的默认端口)之后进行攻击的。

  这个原理其实有点像打电话诈骗,用一些很低级的骗术把容易受骗的人群筛选出来。

  之前在启动 Docker remote API 服务时监听 0.0.0.0 IP,是因为看到很多网上教程都是如此配置,天佑中学但其实存在了很大的安全隐患。(把事情做好和把事情做完区别真的很大!)

  其实该服务在使用中并不需要提供给外网,实际上只要监听子网IP就够了。比如 127.0.0.1、 172.17.0.1。

  在开发的时候我们除了考虑程序正常的输入输出之外,还需要假设一些特殊的情况来进行测试。

  开发者考虑的是保证输入A,就可以得到B。黑客很多时候会输入开发者未考虑的S,从而发现bug或漏洞。

  排查入侵木马的过程很像扮演一个侦探,通过犯罪现场的蛛丝马迹找到凶手以及行凶手法。

  还好当初在发现问题的时候并没有马上采取重装系统这种简单粗暴的方式解决问题,不然漏洞依旧存在,服务器依然会被攻击。

  关于更多更权威网络安全的知识可以参考《OWASP TOP10 2017》,里面有最常见的10类漏洞以及防御措施。

  像本文中的Docker远程未授权漏洞以及类似的redis未授权漏洞都属于 OWASP TOP 10 中的漏洞。返回搜狐,查看更多

标签:天佑中学(3)

版权与免责声明:

凡未注明"稿件来源"的内容均为转载稿,本网转载出于传递更多信息的目的;如转载稿涉及版权问题,请作者联系我们,同时对于用户评论等信息,本网并不意味着赞同其观点或证实其内容的真实性;


本文地址 http://www.hgfx0088.com/a/zhenxiang/20190722/54211.html

转载本站原创文章请注明来源:漫展网_互联网资讯_科技资讯