您当前的位置:首页 > 电脑百科 > 安全防护 > 病毒

Gatlab 10.4.6中挖矿病毒处理与升级过程记录

时间:2022-09-21 15:50:05  来源:今日头条  作者:运维的姿势

阿里云一台ECS中招,中招原因可能为版本底,并且WEB界面允许外部访问,因为我们有外部程序员需要上传代码。

受影响的版本:

 

现像:

CPU一直50%,很聪明!!!

 


 


 

查看进程,有一个GIT用户运行的exe程序持续占有50%的CPU,程序结束后会马上自动拉起。

处理过程:

切换到Gti用户下,查看计划任务:

计划任务为空

/tmp/目录下,没有发现和阿里提示相同的文件夹。

通过lsof -p查看进程,发现境外连接地址,通过IPTABLES禁止访问此地址后,会自动更换其它地址进行自动连接。

[root@~]# lsof -p 9119
COMMAND  PID USER   FD      TYPE     DEVICE SIZE/OFF       NODE NAME
exe     9119  git  cwd       DIR      253,1     4096          2 /
exe     9119  git  rtd       DIR      253,1     4096          2 /
exe     9119  git  txt       REG      253,1  1709100    1179650 /tmp/kami (deleted)
exe     9119  git    0r      CHR        1,3      0t0       1028 /dev/null
exe     9119  git    1w      CHR        1,3      0t0       1028 /dev/null
exe     9119  git    2w      CHR        1,3      0t0       1028 /dev/null
exe     9119  git    3r      CHR        1,3      0t0       1028 /dev/null
exe     9119  git    4u      REG      253,1        4    1188868 /tmp/.x11-unix (deleted)
exe     9119  git    5u  a_inode       0,10        0       6387 [eventpoll]
exe     9119  git    6r     FIFO        0,9      0t0 1319801218 pipe
exe     9119  git    7w     FIFO        0,9      0t0 1319801218 pipe
exe     9119  git    8r     FIFO        0,9      0t0 1319801219 pipe
exe     9119  git    9w     FIFO        0,9      0t0 1319801219 pipe
exe     9119  git   10u  a_inode       0,10        0       6387 [eventfd]
exe     9119  git   11u  a_inode       0,10        0       6387 [eventfd]
exe     9119  git   12u  a_inode       0,10        0       6387 [eventfd]
exe     9119  git   13r      CHR        1,3      0t0       1028 /dev/null
exe     9119  git   14u     IPv4 1319801220      0t0        TCP nexus.****.com:48948->504e189a.host.njalla.NET:https (ESTABLISHED)

iptables -I OUTPUT -d 80.78.24.154 -j DROP

Chain OUTPUT (policy ACCEPT 108 packets, 114K bytes)
 pkts bytes target     prot opt in     out     source               destination         
    6   372 DROP       all  --  *      *       0.0.0.0/0            80.78.24.154 

因为本人处理过一起类似的问题,所以知道系统里本身的默认命令应该是无法查看到此程序,使用busybox来可以很容易的清理,因为时间有限,我给大家一个小妙招,如果找到busybox,可以下载一个Docker镜像,拉起来后,把busybox复制到本机,然后通过busybox进行病毒的清理工作,就易如反掌。

  • 清空整个/tmp目录
  • 结束所有已经打上deleted标记的进程,通过busybox可以很容易的发现进程信息,阿里的提示是准确的,只不过系统被感染,所以不易查看到相关信息。
[root@ ~]# busybox lsof -p |grep 9459
9459	/tmp/kami (deleted)	0	/dev/null
9459	/tmp/kami (deleted)	1	/dev/null
9459	/tmp/kami (deleted)	2	/dev/null
9459	/tmp/kami (deleted)	3	/dev/null
9459	/tmp/kami (deleted)	4	/tmp/.x11-unix (deleted)
9459	/tmp/kami (deleted)	5	anon_inode:[eventpoll]
9459	/tmp/kami (deleted)	6	pipe:[1319802797]
9459	/tmp/kami (deleted)	7	pipe:[1319802797]
9459	/tmp/kami (deleted)	8	pipe:[1319802798]
9459	/tmp/kami (deleted)	9	pipe:[1319802798]
9459	/tmp/kami (deleted)	10	anon_inode:[eventfd]
9459	/tmp/kami (deleted)	11	anon_inode:[eventfd]
9459	/tmp/kami (deleted)	12	anon_inode:[eventfd]
9459	/tmp/kami (deleted)	13	/dev/null
9459	/tmp/kami (deleted)	14	socket:[1319806273]
9459	/tmp/kami (deleted)	15	socket:[1319803995]

至此,进程再也不会被拉起来。

接下来是升级工作。

  • 备份
gitlab-rake gitlab:backup:create  #自动备份代码相关内容
手动备份下面文件
 /etc/gitlab/gitlab.rb                  #配置文件须备份
 /var/opt/gitlab/Nginx/conf       #nginx配置文件
 /etc/postfix/main.cfpostfix        #邮件配置备份
 /etc/gitlab/gitlab-secrets.json   #存储了gitlab的db secret信息
  • 准备gitlab源,本机为centos7
[gitlab-ce]
name=gitlab-ce
baseurl=https://mirrors.tuna.tsinghua.edu.cn/gitlab-ce/yum/el7/
repo_gpgcheck=0
gpgcheck=0
enable=1
gpgkey=https://packages.gitlab.com/gpg.key 
  • 停相关服务
gitlab-ctl stop unicorn
gitlab-ctl stop sidekiq
gitlab-ctl stop nginx
  • yum安装升级
yum install -y gitlab-10.8.7
yum install -y gitlab-11.3.4
  • 启动服务
gitlab-ctl restart

查看可升级的路线图

8.11.Z -> 8.12.0 -> 8.17.7 -> 9.5.10 -> 10.8.7 -> 11.11.8 -> 12.0.12 -> 12.1.17 -> 12.10.14 -> 13.0.14 -> 13.1.11 -> 13.8.8 -> 13.12.15 -> 14.0.12 -> 14.3.6 -> 14.9.5 -> 14.10.Z -> 15.0.Z -> 15.4.0 -> latest 15.Y.Z

 

 

上图为gitlab官网公司的升级路线图。

因为时间关系,我司的Gitlab暂升级到11.3.4,其间升到了10.8.7和11.3.4二个版本。升级后,代码访问正常。



Tags:挖矿病毒   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
阿里云一台ECS中招,中招原因可能为版本底,并且WEB界面允许外部访问,因为我们有外部程序员需要上传代码。受影响的版本: 现像:CPU一直50%,很聪明!!! 查看进程,有一个GIT用户运行的e...【详细内容】
2022-09-21  Tags: 挖矿病毒  点击:(0)  评论:(0)  加入收藏
Bleeping Computer 网站披露,Lemon_Duck 僵尸网络运营商正在进行大规模 Monero 加密挖矿活动,Linux 服务器上的 Docker API 成为其主要攻击目标。 近些年,安全性差或配置错误的...【详细内容】
2022-04-28  Tags: 挖矿病毒  点击:(117)  评论:(0)  加入收藏
一、挖矿病毒的小科普挖矿病毒可以说是安全圈的“老熟人”了,各类安全事件一直不乏它们活跃的身影。亚信安全发布的《2020年度安全威胁回顾及预测》显示:2020年,挖矿病毒持续...【详细内容】
2021-09-07  Tags: 挖矿病毒  点击:(1229)  评论:(0)  加入收藏
0x0前言本病毒使用了去符号表、敏感信息混淆、int 0x80执行系调函数、sh -c 执行bash脚本获取相关信息等技术来做免杀处理。但是不足的点也很明显: top命令可以直接查看病...【详细内容】
2020-08-10  Tags: 挖矿病毒  点击:(215)  评论:(0)  加入收藏
上周一早上,我和磊哥正百无聊赖的在公司大门口抽烟,突然手机提示我们的xenapp服务器资源使用率过高。按理说,这服务器一个月的总访问量也不会超过100,资源不可能耗尽。初步估计...【详细内容】
2019-08-26  Tags: 挖矿病毒  点击:(1205)  评论:(0)  加入收藏
▌简易百科推荐
阿里云一台ECS中招,中招原因可能为版本底,并且WEB界面允许外部访问,因为我们有外部程序员需要上传代码。受影响的版本: 现像:CPU一直50%,很聪明!!! 查看进程,有一个GIT用户运行的e...【详细内容】
2022-09-21  运维的姿势  今日头条  Tags:挖矿病毒   点击:(0)  评论:(0)  加入收藏
2010年,伊朗核设施的上千台离心机瘫痪,整个网络系统瘫痪时间长达一小时,直接导致了伊朗核计划倒退了两年,世界也第一次见证了网络战的巨大威力,世人为之震惊。今天,就由小编带大家...【详细内容】
2022-07-31  成长点滴    Tags:病毒   点击:(189)  评论:(0)  加入收藏
根据BleepingComputer消息,一种名为RedAlert的新勒索软件对企业网络进行攻击,目前已经有Windows和Linux VMWare ESXi系统中招。MalwareHunterTeam 在今天发现了这款新的勒索软...【详细内容】
2022-07-07  安全阿鸾an    Tags:勒索软件   点击:(92)  评论:(0)  加入收藏
Deepfake眼见不一定为实你玩过换脸软件吗?你看到过奥巴马大骂特朗普的视频吗?这些都是Deepfake的小打小闹。Deepfake这个词是“深度学习”和“假冒”两个词的组合。一般来说,De...【详细内容】
2022-06-28  元宇宙梦想工厂    Tags:AI病毒   点击:(135)  评论:(0)  加入收藏
一台服务器,凌晨2点左右就中了勒索病毒,这个该死的病毒把能加密的文件都全部加密了,后缀都是.mkp,还留了邮箱联系方式,如图: 勒索病毒留言了,如图: 第一次看见这病毒。怎么办,听说...【详细内容】
2022-06-24  昂昂达人    Tags:勒索病毒   点击:(78)  评论:(0)  加入收藏
在使用电脑的过程中,有时候因为误操作或者其他软件,我们可能会被动的安装一些恶意/流氓软件,这些软件对于电脑性能和安全都有一定的威胁。有人为了删除电脑里的这些软件,会去装...【详细内容】
2022-05-17  电脑那些事儿    Tags:恶意软件   点击:(77)  评论:(0)  加入收藏
电脑隐藏的恶意软件可能会让爱机遇到卡慢、死机等问题 用电脑自带的工具就可以1招找到隐藏的恶意软件哦一起来看看如何操作 具体操作步骤如下: 在键盘上同时按住【Win+R】 运...【详细内容】
2022-05-07  联想中国    Tags:恶意软件   点击:(89)  评论:(0)  加入收藏
Bleeping Computer 网站披露,Lemon_Duck 僵尸网络运营商正在进行大规模 Monero 加密挖矿活动,Linux 服务器上的 Docker API 成为其主要攻击目标。 近些年,安全性差或配置错误的...【详细内容】
2022-04-28  安鸾网络安全    Tags:病毒   点击:(117)  评论:(0)  加入收藏
永恒之蓝:2017年5月13日起,全球范围内爆发的基于Windows网络共享协议进行攻击传播的蠕虫恶意代码,不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络...【详细内容】
2022-03-09  武汉金信润天    Tags:永恒之蓝   点击:(487)  评论:(0)  加入收藏
电脑病毒曾经肆虐一时,对人们的“网上冲浪”造成很大的影响。在电脑病毒最猖獗的时候,网上随便点错了一个链接都可能导致电脑黑屏卡机,机主就要痛苦地恢复出厂设置,然后重新装...【详细内容】
2022-02-21  互联狗    Tags:电脑病毒   点击:(111)  评论:(0)  加入收藏
站内最新
站内热门
站内头条