解决gitlab被挖矿问题
Posted yifangyou
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了解决gitlab被挖矿问题相关的知识,希望对你有一定的参考价值。
昨天阿里云发送警报,服务器被挖矿了,今天赶紧解决了,分享给大家参考
利用GitLab ExifTool RCE lou动在野gong击影响的 GitLab版本:
- 9 <= GitLab(CE/EE)< 13.8.8
- 9 <= GitLab(CE/EE)< 13.9.6
- 10 <= GitLab(CE/EE)< 13.10.3
查看gitlab版本rpm -qa|grep gitlab
查看挖矿的进程,所属用户为git
top
这两个进程杀死后又会出现 可以看到不断有进程修改计划任务
tail -f /var/log/cron
su git
crontab -l
解决办法
#停止gitlab
gitlab-ctl stop
#升级gitlab
yum install -y gitlab-ce
su git
#执行可以看到有个每分钟执行的任务,这个是挖矿程序,每分钟启动一次,启动后把自己移动到别的地方去,
#因此找不到程序在哪里
crontab -l
#通过指令快速找到文件大小
crontab -l|awk print "ls -l",$6|sh
cd /opt/git/backups/repositories/@hashed
#通过文件大小找到对应的文件,进行删除(和下面的命令一起连着执行)
find ./ -size 3505116c -type f -exec rm \\;;
#同时删除两个进程,否则已经删除的文件还会出现
ps aux|grep git|grep -v root|awk print "kill -9",$2 |sh
#删除每分钟的计划任务
crontab -e
#查询是否有被上传了mu马程序
grep exiftool /var/log/gitlab/gitlab-workhorse/current
grep bash /var/log/gitlab/gitlab-workhorse/current
#查询mu马程序是否被执行
ps aux|grep bash|grep git
#杀死mu马程序
kill -9 mu马的ID
ls /var/opt/gitlab/gitlab-workhorse
若是该目录下除了config.toml socket VERSION三个文件之外还有别的文件请删除
#修复lou动
cd ~
curl -JLO https://gitlab.com/gitlab-org/build/CNG/-/raw/master/gitlab-ruby/patches/allow-only-tiff-jpeg-exif-strip.patch
cd /opt/gitlab/embedded/lib/exiftool-perl
patch -p2 < ~/allow-only-tiff-jpeg-exif-strip.patch
#开启gitlab
gitlab-ctl start
#检查一下
top
以上是关于解决gitlab被挖矿问题的主要内容,如果未能解决你的问题,请参考以下文章