您当前的位置:首页 > 电脑百科 > 安全防护 > 病毒

Gatlab 10.4.6中挖矿病毒处理与升级过程记录

时间:2022-09-21 15:50:05  来源:今日头条  作者:运维的姿势

阿里云一台ECS中招,中招原因可能为版本底,并且WEB界面允许外部访问,因为我们有外部程序员需要上传代码。

受影响的版本:

 

现像:

CPU一直50%,很聪明!!!

 


 


 

查看进程,有一个GIT用户运行的exe程序持续占有50%的CPU,程序结束后会马上自动拉起。

处理过程:

切换到Gti用户下,查看计划任务:

计划任务为空

/tmp/目录下,没有发现和阿里提示相同的文件夹。

通过lsof -p查看进程,发现境外连接地址,通过IPTABLES禁止访问此地址后,会自动更换其它地址进行自动连接。

[root@~]# lsof -p 9119
COMMAND  PID USER   FD      TYPE     DEVICE SIZE/OFF       NODE NAME
exe     9119  git  cwd       DIR      253,1     4096          2 /
exe     9119  git  rtd       DIR      253,1     4096          2 /
exe     9119  git  txt       REG      253,1  1709100    1179650 /tmp/kami (deleted)
exe     9119  git    0r      CHR        1,3      0t0       1028 /dev/null
exe     9119  git    1w      CHR        1,3      0t0       1028 /dev/null
exe     9119  git    2w      CHR        1,3      0t0       1028 /dev/null
exe     9119  git    3r      CHR        1,3      0t0       1028 /dev/null
exe     9119  git    4u      REG      253,1        4    1188868 /tmp/.x11-unix (deleted)
exe     9119  git    5u  a_inode       0,10        0       6387 [eventpoll]
exe     9119  git    6r     FIFO        0,9      0t0 1319801218 pipe
exe     9119  git    7w     FIFO        0,9      0t0 1319801218 pipe
exe     9119  git    8r     FIFO        0,9      0t0 1319801219 pipe
exe     9119  git    9w     FIFO        0,9      0t0 1319801219 pipe
exe     9119  git   10u  a_inode       0,10        0       6387 [eventfd]
exe     9119  git   11u  a_inode       0,10        0       6387 [eventfd]
exe     9119  git   12u  a_inode       0,10        0       6387 [eventfd]
exe     9119  git   13r      CHR        1,3      0t0       1028 /dev/null
exe     9119  git   14u     IPv4 1319801220      0t0        TCP nexus.****.com:48948->504e189a.host.njalla.NET:https (ESTABLISHED)

iptables -I OUTPUT -d 80.78.24.154 -j DROP

ChAIn OUTPUT (policy ACCEPT 108 packets, 114K bytes)
 pkts bytes target     prot opt in     out     source               destination         
    6   372 DROP       all  --  *      *       0.0.0.0/0            80.78.24.154 

因为本人处理过一起类似的问题,所以知道系统里本身的默认命令应该是无法查看到此程序,使用busybox来可以很容易的清理,因为时间有限,我给大家一个小妙招,如果找到busybox,可以下载一个Docker镜像,拉起来后,把busybox复制到本机,然后通过busybox进行病毒的清理工作,就易如反掌。

  • 清空整个/tmp目录
  • 结束所有已经打上deleted标记的进程,通过busybox可以很容易的发现进程信息,阿里的提示是准确的,只不过系统被感染,所以不易查看到相关信息。
[root@ ~]# busybox lsof -p |grep 9459
9459	/tmp/kami (deleted)	0	/dev/null
9459	/tmp/kami (deleted)	1	/dev/null
9459	/tmp/kami (deleted)	2	/dev/null
9459	/tmp/kami (deleted)	3	/dev/null
9459	/tmp/kami (deleted)	4	/tmp/.x11-unix (deleted)
9459	/tmp/kami (deleted)	5	anon_inode:[eventpoll]
9459	/tmp/kami (deleted)	6	pipe:[1319802797]
9459	/tmp/kami (deleted)	7	pipe:[1319802797]
9459	/tmp/kami (deleted)	8	pipe:[1319802798]
9459	/tmp/kami (deleted)	9	pipe:[1319802798]
9459	/tmp/kami (deleted)	10	anon_inode:[eventfd]
9459	/tmp/kami (deleted)	11	anon_inode:[eventfd]
9459	/tmp/kami (deleted)	12	anon_inode:[eventfd]
9459	/tmp/kami (deleted)	13	/dev/null
9459	/tmp/kami (deleted)	14	socket:[1319806273]
9459	/tmp/kami (deleted)	15	socket:[1319803995]

至此,进程再也不会被拉起来。

接下来是升级工作。

  • 备份
gitlab-rake gitlab:backup:create  #自动备份代码相关内容
手动备份下面文件
 /etc/gitlab/gitlab.rb                  #配置文件须备份
 /var/opt/gitlab/Nginx/conf       #nginx配置文件
 /etc/postfix/main.cfpostfix        #邮件配置备份
 /etc/gitlab/gitlab-secrets.json   #存储了gitlab的db secret信息
  • 准备gitlab源,本机为centos7
[gitlab-ce]
name=gitlab-ce
baseurl=https://mirrors.tuna.tsinghua.edu.cn/gitlab-ce/yum/el7/
repo_gpgcheck=0
gpgcheck=0
enable=1
gpgkey=https://packages.gitlab.com/gpg.key 
  • 停相关服务
gitlab-ctl stop unicorn
gitlab-ctl stop sidekiq
gitlab-ctl stop nginx
  • yum安装升级
yum install -y gitlab-10.8.7
yum install -y gitlab-11.3.4
  • 启动服务
gitlab-ctl restart

查看可升级的路线图

8.11.Z -> 8.12.0 -> 8.17.7 -> 9.5.10 -> 10.8.7 -> 11.11.8 -> 12.0.12 -> 12.1.17 -> 12.10.14 -> 13.0.14 -> 13.1.11 -> 13.8.8 -> 13.12.15 -> 14.0.12 -> 14.3.6 -> 14.9.5 -> 14.10.Z -> 15.0.Z -> 15.4.0 -> latest 15.Y.Z

 

 

上图为gitlab官网公司的升级路线图。

因为时间关系,我司的Gitlab暂升级到11.3.4,其间升到了10.8.7和11.3.4二个版本。升级后,代码访问正常。



Tags:挖矿病毒   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
Gatlab 10.4.6中挖矿病毒处理与升级过程记录
阿里云一台ECS中招,中招原因可能为版本底,并且WEB界面允许外部访问,因为我们有外部程序员需要上传代码。受影响的版本: 现像:CPU一直50%,很聪明!!! 查看进程,有一个GIT用户运行的e...【详细内容】
2022-09-21  Search: 挖矿病毒  点击:(792)  评论:(0)  加入收藏
挖矿病毒“盯上”了 Docker 服务器
Bleeping Computer 网站披露,Lemon_Duck 僵尸网络运营商正在进行大规模 Monero 加密挖矿活动,Linux 服务器上的 Docker API 成为其主要攻击目标。 近些年,安全性差或配置错误的...【详细内容】
2022-04-28  Search: 挖矿病毒  点击:(361)  评论:(0)  加入收藏
一次挖矿病毒的处理过程复盘
一、挖矿病毒的小科普挖矿病毒可以说是安全圈的“老熟人”了,各类安全事件一直不乏它们活跃的身影。亚信安全发布的《2020年度安全威胁回顾及预测》显示:2020年,挖矿病毒持续...【详细内容】
2021-09-07  Search: 挖矿病毒  点击:(1650)  评论:(0)  加入收藏
偶遇一个挖矿病毒
0x0前言本病毒使用了去符号表、敏感信息混淆、int 0x80执行系调函数、sh -c 执行bash脚本获取相关信息等技术来做免杀处理。但是不足的点也很明显: top命令可以直接查看病...【详细内容】
2020-08-10  Search: 挖矿病毒  点击:(447)  评论:(0)  加入收藏
记录一次挖矿病毒紧急处理过程
上周一早上,我和磊哥正百无聊赖的在公司大门口抽烟,突然手机提示我们的xenapp服务器资源使用率过高。按理说,这服务器一个月的总访问量也不会超过100,资源不可能耗尽。初步估计...【详细内容】
2019-08-26  Search: 挖矿病毒  点击:(1789)  评论:(0)  加入收藏
▌简易百科推荐
如何防范与清除电脑病毒
在数字时代,电脑病毒已经成为了一个全球性的问题,对个人和企业都造成了巨大的损失。因此,了解如何防范和清除电脑病毒是非常重要的。本文将详细介绍电脑病毒的防范和清除方法,以...【详细内容】
2024-01-31    果果的日记  Tags:电脑病毒   点击:(68)  评论:(0)  加入收藏
计算机服务器中了mallox勒索病毒解密方案计划,勒索病毒解密措施
计算机技术的不断应用与发展,为企业的生产运营提供了有利条件,但网络安全威胁无处不在。近期,广西某生物制药企业的计算机服务器遭到了mallox勒索病毒攻击,导致企业的计算机所有...【详细内容】
2024-01-26  解密恢复云天    Tags:勒索病毒   点击:(88)  评论:(0)  加入收藏
杭州破获重大勒索病毒案:犯罪团伙用ChatGPT优化程序
快科技12月29日消息,据国内媒体报道,杭州上城区网警近日破获一起重大勒索病毒案件。犯罪团伙成员均有网络安防相关资质,且在实施犯罪过程中借助ChatGPT进行程序优化。据介绍, 1...【详细内容】
2023-12-29    快科技  Tags:勒索病毒   点击:(113)  评论:(0)  加入收藏
企业计算机中了DevicData勒索病毒如何解密,DevicData勒索病毒解密流程方案
在近期,网络上流传一种名为DevicData勒索病毒,该病毒是一种早期勒索病毒,随着网络技术的不断发展,该勒索病毒的攻击加密方式做了很大升级,给企业的计算机带来了严重威胁。近日,云...【详细内容】
2023-12-22  解密恢复云天    Tags:勒索病毒   点击:(114)  评论:(0)  加入收藏
计算机服务器中了勒索病毒怎么解决,勒索病毒解密步骤数据恢复
网络技术的不断发展,为企业的生产生活提供了极大的便利性,随着企业数字化办公系统的实施,数据安全引起了企业强烈重视。近期,经过云天数据恢复中心对勒索病毒的处理发现,当下市面...【详细内容】
2023-11-20  解密恢复云天    Tags:勒索病毒   点击:(145)  评论:(0)  加入收藏
数据投毒(Data Poisoning)
人工智能安全峰会2023年11月07日首届人工智能安全峰会发布《布莱奇利宣言》首届人工智能安全峰会于日前在英国布莱奇利园举行,峰会发布《布莱奇利宣言》。为期两天的峰会,美国...【详细内容】
2023-11-07  大凡造物de头条号  今日头条  Tags:数据投毒   点击:(356)  评论:(0)  加入收藏
数据库中了mkp勒索病毒怎么办,mkp勒索病毒解密,数据恢复
在当今社会,科技技术飞速发展,为人们的生产生活提供了强有力的支撑,但随之而来的网络安全威胁也无处不在。近期,云天数据恢复中心连续收到很多企业的求助,企业的数据库遭到了mkp...【详细内容】
2023-10-25  解密恢复云天    Tags:勒索病毒   点击:(247)  评论:(0)  加入收藏
电脑病毒防范技巧:打造安全的网络环境
随着互联网的普及和电脑在我们生活中的重要性日益增加,电脑病毒的威胁也变得越来越严重。电脑病毒可以导致数据丢失、系统崩溃甚至个人隐私泄漏,因此保护电脑免受病毒侵害非常...【详细内容】
2023-09-21  小菜说科技    Tags:病毒   点击:(303)  评论:(0)  加入收藏
XLoader 恶意软件卷土重来,可窃取 Mac 用户敏感信息
IT之家 8 月 22 日消息,在 2021 年曾被称为“第四大恶意攻击”的 XLoader 正卷土重来,不仅破坏力升级,而且伪装能力进一步增强,macOS 用户更容易中招。根据网络安全公司 Sentine...【详细内容】
2023-08-22  IT之家    Tags:XLoader   点击:(266)  评论:(0)  加入收藏
变幻莫测,Mallox勒索病毒家族的第23个变种--.malloxx勒索病毒
导言:在数字时代的今天,网络安全威胁不容小觑,而勒索病毒则是其中恶劣的一类,.malloxx勒索病毒更是其中的顶级威胁。本文91数据恢复将深入探讨如何摆脱被.malloxx勒索病毒劫持的...【详细内容】
2023-08-21  数据恢复工程师91  今日头条  Tags:勒索病毒   点击:(205)  评论:(0)  加入收藏
站内最新
站内热门
站内头条