解决gitlab被挖矿问题

Posted yifangyou

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了解决gitlab被挖矿问题相关的知识,希望对你有一定的参考价值。

昨天阿里云发送警报,服务器被挖矿了,今天赶紧解决了,分享给大家参考

利用GitLab ExifTool RCE lou动在野gong击影响的 GitLab版本:

  1. 9 <= GitLab(CE/EE)< 13.8.8
  2. 9 <= GitLab(CE/EE)< 13.9.6
  3. 10 <= GitLab(CE/EE)< 13.10.3

查看gitlab版本rpm -qa|grep gitlab

查看挖矿的进程,所属用户为git

top

解决gitlab被挖矿问题_被挖矿

这两个进程杀死后又会出现 可以看到不断有进程修改计划任务

tail -f /var/log/cron

解决gitlab被挖矿问题_git_02

su git

crontab -l

解决gitlab被挖矿问题_安全_03


解决办法

#停止gitlab
gitlab-ctl stop
#升级gitlab
yum install -y gitlab-ce

su git

#执行可以看到有个每分钟执行的任务,这个是挖矿程序,每分钟启动一次,启动后把自己移动到别的地方去,
#因此找不到程序在哪里
crontab -l
#通过指令快速找到文件大小
crontab -l|awk print "ls -l",$6|sh

cd /opt/git/backups/repositories/@hashed
#通过文件大小找到对应的文件,进行删除(和下面的命令一起连着执行)
find ./ -size 3505116c -type f -exec rm \\;;
#同时删除两个进程,否则已经删除的文件还会出现
ps aux|grep git|grep -v root|awk print "kill -9",$2 |sh

#删除每分钟的计划任务
crontab -e


#查询是否有被上传了mu马程序
grep exiftool /var/log/gitlab/gitlab-workhorse/current
grep bash /var/log/gitlab/gitlab-workhorse/current
#查询mu马程序是否被执行
ps aux|grep bash|grep git

#杀死mu马程序
kill -9 mu马的ID

ls /var/opt/gitlab/gitlab-workhorse
若是该目录下除了config.toml socket VERSION三个文件之外还有别的文件请删除

#修复lou动
cd ~
curl -JLO https://gitlab.com/gitlab-org/build/CNG/-/raw/master/gitlab-ruby/patches/allow-only-tiff-jpeg-exif-strip.patch
cd /opt/gitlab/embedded/lib/exiftool-perl
patch -p2 < ~/allow-only-tiff-jpeg-exif-strip.patch

#开启gitlab
gitlab-ctl start

#检查一下
top


以上是关于解决gitlab被挖矿问题的主要内容,如果未能解决你的问题,请参考以下文章

解决服务器被挖矿程序攻击导致CPU飙升的问题

redis后门导致被挖矿minerd解决办法

求助服务器被挖矿程序入侵,如何排查

某系统被挖矿应急简报

云主机被挖矿的应急脚本

我的大脑被挖矿代码搞的不能好好思考了