【Gitlab】Gitlab挖矿病毒处理

已于 2024-01-03 11:20:39 修改
阅读量240 收藏
点赞数
分类专栏: 运维 文章标签: gitlab
于 2023-12-21 19:57:18 首次发布
原文链接:https://blog.csdn.net/fish_study_csdn/article/details/105402327
版权

利用GitLab ExifTool RCE 漏洞执行挖矿脚本

影响的 GitLab版本:

11.9 <= GitLab(CE/EE)< 13.8.8

12.9 <= GitLab(CE/EE)< 13.9.6

13.10 <= GitLab(CE/EE)< 13.10.3

出现一个占用cpu极高的进程,kill 并删除后,又会自动出现(大概率为定时任务)。

查询定位后发现用户为git

# su git

# crontab -l

解决方法

1,删除定时任务

# crontab -e

2,清除挖矿进程文件

# rm -rf /tmp/病毒文件

3,gitlab打补丁包

#修复漏洞

# cd ~

# curl -JLO https://gitlab.com/gitlab-org/build/CNG/-/raw/master/gitlab-ruby/patches/allow-only-tiff-jpeg-exif-strip.patch

# cd /opt/gitlab/embedded/lib/exiftool-perl

# patch -p2 < ~/allow-only-tiff-jpeg-exif-strip.patch

挖矿记录+解决方案:利用GitLab组件对服务器进行挖矿导致CPU占用200%
作者的博客园已搬家到CSDN,访问博客园主页将默认跳转至CSDN
07-13 1895
云服务器挖矿是指利用云服务器从事赚取比特币的活动。比特币是一种虚拟数字货币,挖矿是将一段时间内比特币系统中发生的交易进行确认,并记录在区块链上形成新区块的过程。用于挖矿的计算机一般有专业的挖矿芯片,多采用安装大量显卡的方式工作,耗电量较大。计算机下载挖矿软件,然后运行特定算法,与远方服务器通讯后可得到相应比特币。说白了,就是利用你的服务器硬件资源为他本人干一些。
一次挖矿病毒的排查过程
邓邓子的博客
06-06 584
由于重启前后,相关命令如ps、ls等都无法使用,最后重装系统!清除异常任务,重启服务器。
gitlab-ce-12.3.5 挖矿病毒及解决方案
cm777的博客
11-09 1440
最近发现在使用gitlab提交代码的时候总是失败,一访问gitlab还时常报503,于是使用 'top' 命令查看了内存占用情况,发现了一个git进程内存使用了2.3g,cpu还一直占用300-400%本文主要内容为怎么排查gitlab-ce漏洞引起的挖矿病毒以及如何彻底杀死,为读者提供一个在不能及时升级gitlab-ce版本的情况下的应急解决方案。网上看了很多篇文章,发现讲的解决方案都不清晰,也都没有讲明白如何杀死或处理,因此提供一篇,希望能帮助到同行朋友。
gitlab 挖矿病毒处理
MrLee的博客
06-13 1655
利用GitLab ExifTool RCE 漏洞执行挖矿脚本影响的 GitLab版本:11.9
腾讯云服务器被攻击使用的命令,gitlab因为没有设置redis密码导致被植入挖矿程序
阿俊的博客
04-24 489
cd /var/lib/docker/overlay2/73b322dfc2c40a458f3d9a0c5d1691bb3ca013adcb76431e5d759b82e3a2c4e1/merged/tmp 进入挖矿程序目录。ps -aux | sort -k3nr | head -5 查询最近运行的程序,其中包含了spreadtop。腾讯云服务器被攻击使用的命令,gitlab因为没有设置redis密码导致被植入挖矿程序。强烈建议关闭自带的redis,使用自有redis服务,参考。
gitlab漏洞导致服务器被植入挖矿程序
u013662310的博客
12-01 3691
gitlab版本升级GitLab rce (CVE-2021-22205) 服务器上gitlab又被利用来挖矿 挖矿程序xmrig: 在蜜罐社区,安全威胁情报周报(21.11.13~21.11.19)看到捕获的gitlab漏洞 GitLab rce (CVE-2021-22205) 影响的 GitLab版本: 11.9 <= GitLab(CE/EE)< 13.8.8 13.9 <= GitLab(CE/EE)< 13.9.6 13.10 <= GitLab(CE/EE)&l
GitLab爆出惊天漏洞,攻击者可轻易操控Pipeline作业!新加坡警方一网打尽,全球黑客犯罪集团六名要犯落网!Mustang Panda升级恶意武器库,亚太地区政府遭严密监视!| 安全周报0913
最新发布
weixin_55163056的博客
09-13 1877
惊爆!Linux遭神秘恶意软件袭击,Oracle Weblogic成挖矿门户!GitLab爆出惊天漏洞,攻击者可轻易操控Pipeline作业!新加坡警方一网打尽,全球黑客犯罪集团六名要犯落网!微软大曝光!79个漏洞补丁齐发,3大Windows漏洞正被黑客疯狂利用!Mustang Panda升级恶意武器库,亚太地区政府遭严密监视!
解决linux中挖矿病毒
热门推荐
chen_jianjian的专栏
07-13 1万+
服务器服务不响应 有同事反应gitlab无法使用,登录服务器后台,发现有个进程占用CPU很高,进程名异常 获取病毒绝对路径 [root@localhost ~]# cat /proc/17521/cmdline wswfEOH6[root@localhost ~]# ls -l /proc/17521/exe lrwxrwxrwx. 1 root root 0 7月 13 10:03 /proc/17521/exe -> /root/b5e9c4b2a988579aa182c393.
详细分析PBot挖矿病毒家族行为和所利用漏洞原理,提供蓝军详细防护建议
不忘初心,护天下安全!
06-27 636
近期,360监测到一个挖矿僵尸网络,并对其进行了持续跟踪。其bot模块为GitHub开源的IRCBot(采用Perl语言编写),且病毒脚本中包含perlbot关键字,遂命名为PBot。该僵尸网络正利用Spring4Shell漏洞(CVE-2022-22965)、GitLab CE/EE RCE漏洞(CVE-2021-22205)等漏洞大肆攻击互联网中主机以植入恶意脚本构建僵尸网络、挖矿牟利。目前该病毒家族至少包含7个漏洞利用模块,并收集了上万个脆弱主机IP地址。1)攻击者首先利用Spring4Shell漏洞
阿里云服务器被挖矿程序侵入问题
samfaker的博客
08-23 1558
gitlab漏洞引起的无文件、无定时任务的挖矿程序解决方法
Gitlab备份和恢复操作记录(个人精华版)
08-29
本篇文章详细记录了Gitlab备份和恢复操作过程,可作为线上实操手册。在此分享,希望能帮助到有用到的朋友。
Gitlab远程代码执行漏洞(CVE-2021-22205)在野利用,8220挖矿团伙最新变种分析
ZL_1618的博客
08-17 513
近日,阿里云安全监测到Gitlab远程代码执行(CVE-2021-22205)在野利用,其团伙不仅利用4层协议服务进行入侵,还集成了使用比较广的WebRCE漏洞,最终通过持久化方式进行挖矿、木马后门维持,对用户主机资源、资产产生不良危害,通过攻击手法、文件命名自动确认为8220挖矿团伙最新变种。阿里云安全持续对最新变种进行监控,发现至10月21日后传播有所上升,11月4日发现利用Gitlab远程代码漏洞进行入侵,提醒广大企业客户注意防护。
挖矿病毒解决经验
2301_79011934的博客
03-18 613
通过刚才top查看的进程会发现有一个pid为998的用户启动了那几个进程,通过cat/etc/passwd查看系统中所有的用户,拿到998用户对应的用户名,把用户删除。使用top命令查看系统资源占用,按shift+p排序查看cpu高占用的进程,发现挖矿病毒分为多个进程运行,如果是多核cpu可以按1查看每个核心的占用情况。由于挖矿病毒一般都无法通过杀死进程直接根除,所以需要找出病毒进程,根据病毒进程找到启动的脚本。脚本一般来说是没有权限运行的,说明服务器可能已经沦陷,管理员密码被获取,或者留了隐藏用户。
Linux运维|记录一个挖矿病毒
qq_42968558的博客
08-19 480
本文转载自本人公众号 现象 任何程序都会在执行一段时间之后被kill 检查top命令,得到结果如下: 检查crontab发现root中被写入定时服务:用crontab往服务器写入了一个命令,会定时调用python进程连接到 166.111.57.30:3333这个位置远程跑程序。 * * * * * python -lan 166.111.57.30:3333 检查发现3333端口前一段时间爆发挖矿病毒,怀疑是166.111.57.30成为校内肉鸡。基本确定是挖矿木马。此条命令清除掉之后,还是有同样的
阿里云机器维护-gitlab Forbidden
weixin_30518397的博客
09-11 161
gitlab这台机子运行了一两年了,今天突然拉代码不能拉了,看了下接口403登录网页Forbidden 看了下是前两天挖矿病毒引发的,大致因为大量请求导致ip被封了 我们只要把这台机子加入配置白名单就行 vi/etc/gitlab/gitlab.rb 找到 ip_whitelist这里。加入自己机器的ip 改好后 gitlab-ctl reconfigure 就正...
git-linux-xll?x11-unix 挖矿病毒问题定位与处理
lin351550660的专栏
01-18 1390
1、dev服务器出现git用户启动的进程cpu200%的情况、网络传输在高速流量流出。 2、首先关停gitlab服务 3、杀死进程后,会马上再出现,无定时任务。 4、使用lsof -p PID 查看 其中一个名字为 xll-unix的文件,该文件为病毒文件,百度后找到文档 5、下载使用busybox安装教程 X度一下 6、使用busybox top 发现除了cpu高的进程以外 还有其他git用户进程 (该进程为守护进程) 7、同时杀死所有git用户下的进程 等...
GitLab 严重漏洞在野被广泛利用,企业需立即自查
qq_53058639的博客
07-23 572
4.1 事件总结本次事件是通过免费社区蜜罐 HFish、OneEDR 在收集终端的进程、网络、文件等系统行为发现的,通过 OneEDR的智能关联功能,可了解到安全事件的上下文以及主机、账号、进程等信息,通过“进程链”快速掌握事件的影响范围以及事件的概括,从而精准溯源。HFish 是一款基于 Golang 开发的社区免费蜜罐,可提供多种网络服务和 Web 应用模拟。OneEDR。
Linux害虫落马记
linux硬派运维
04-04 916
作者:田逸(vx:formyz) 江湖救急,一老友告知,一运行Gitlab的主机负载很高,并且把整个出口带宽都耗尽了,希帮忙处理。根据经验,直接答复“很可能被挖矿了”。在取得系统权限以后,登录到该系统。 查看系统进程,除了发现挖矿进程“xmrig”外,还有两个命名怪异的进程“diofiglos”与“cacascqw”。试着用kill指令绞杀挖矿进程“xmrig”,杀掉一个又再启动一个,无法消灭之。是不是有自动任务在时刻在探测挖矿进程是否处于运行状态呢?查看Crond配置,未有发现。 该系统
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值