คำขอที่เป็นอันตรายจากเครือข่ายส่วนตัว (Kubernetes)

Darko Romanov

12/2/23 07:59

เมื่อเร็ว ๆ นี้ ฉันมีคำขอที่เป็นอันตรายจำนวนมากไปยังพ็อด nginx-ingress ของฉัน แต่ฉันไม่เข้าใจว่าเป็นไปได้อย่างไรที่คำขอเหล่านี้มาจากเครือข่ายส่วนตัว ตัวอย่างบางส่วน:

10.114.0.3 - - [11/ต.ค./2021:09:07:09 +0000] "GET /cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e /%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts HTTP/1.1" 400 158 "-" "-" 94 0.015 [] [] - - - - bea3d4941bd57413fa52e4ff01437067
10.114.0.3 - - [11/ต.ค./2021:09:07:09 +0000] "\x16\x03\x01\x00\xEE\x01\x00\x00\xEA\x03\x03]\xCDw\x0B\xD4 \x92$z\x17\xC4z\xC1s\xFF\x1E\x5C\xE1\xC0\xCE\xEB$<Z\xAB\xC5\xC9L\xB5\xF09-u yd\xD1y\x0Fw\x9A\x94\xB1 $\xDC\xC6\xD7\xCB\xE2\xFB\x83\xEEQC*\xBA\xC4E\x0F\xF6\xA6\xFC_a\xB9\x15\x00&\xC0/\xC00\xC0+\xC0,\xCC\xA8 \xCC\xA9\xC0\x13\xC0\x09\xC0\x14\xC0" 400 158 "-" "-" 0 0.016 [] [] - - - - 0200c3049215e065bc42749fee66654a
10.114.0.3 - - [11/ต.ค./2021:09:07:09 +0000] "CONNECT leakix.net:443 HTTP/1.1" 400 158 "-" "-" 0 0.017 [] [] - - - - 43ae42d20fa1fa89fcddddd81801b9a2
10.114.0.3 - - [11/ต.ค./2021:15:32:02 +0000] "POST /cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh HTTP/1.1" 400 158 "-" "-" 51 0.042 [] [] - - - - 862e8fe41db26a92f8db8dd194184044

ฉันคิดว่าหยดหนึ่งของเราถูกแฮ็ก แต่เราไม่มีหยดใดที่มี IP 10.114.0.3 แม้ว่าเราจะมี IP ที่คล้ายกัน:

10.114.0.2
10.114.0.5
10.114.0.7

ความคิดใด ๆ

269

0 + 0

คูเบอร์เนเตส

nginx-เข้า

kupson

12/2/23 12:43

คุณเห็นที่อยู่ IP ภายนอกจริงในคำขอที่ถูกต้องจากอินเทอร์เน็ตหรือไม่

ตอบกลับ

Score:3

Server

p10l

12/2/23 11:50

สิ่งที่คุณเห็นคือการโจมตีโดยใช้ช่องโหว่ใน Apache 2.4.49 (เฉพาะเวอร์ชันนี้เท่านั้นที่ได้รับผลกระทบ) คุณสามารถอ่านเพิ่มเติมเกี่ยวกับเรื่องนี้ได้ที่นี่ CVE-2021-41773.
TLDR: การข้ามเส้นทางช่วยให้ผู้โจมตีเรียกใช้โค้ดจากระยะไกล หากไฟล์ไม่ได้รับการป้องกัน ต้องการปฏิเสธทั้งหมด การกำหนดค่า

หากคุณใช้เซิร์ฟเวอร์ Apache ใด ๆ ให้อัปเกรดเป็นเวอร์ชัน 2.4.50 เป็นอย่างน้อย
ดำเนินการนี้บนเซิร์ฟเวอร์ Apache ของคุณ

ขด --data "echo;id" 'http://127.0.0.1:80/cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh'

หากสิ่งนั้นส่งคืนสิ่งอื่นที่ไม่ใช่ข้อผิดพลาด 403 เซิร์ฟเวอร์ของคุณอาจมีความเสี่ยง

สมมติว่าคุณกำลังใช้ DigitalOcean ให้ตรวจสอบกิจกรรมในบัญชีของคุณ และกิจกรรมของทีม เพื่อดูการดำเนินการ droplet.create และ หยดทำลาย ด้วย IP ที่น่าสงสัย

ตรวจสอบตัวกำหนดตารางเวลาและบันทึกตัวควบคุมของ kube เพื่อหากิจกรรมที่น่าสงสัย

0 + 0

Darko Romanov

12/2/23 18:51

ถูกต้อง! ฉันเห็นการกระทำเหล่านั้นจาก IP 127.0.0.1 พร้อมผู้ใช้ "k8saas infrastructure" เป็นเวลาประมาณหนึ่งสัปดาห์ที่เราได้รับการแจ้งเตือนประเภท "ค่าเฉลี่ยการโหลด 15 นาทีกำลังทำงานสูง"

ตอบกลับ

Darko Romanov

13/2/23 07:54

ดังนั้นจาก IP และชื่อผู้ใช้ ฉันจะบอกว่ามันเป็นบันทึกการบำรุงรักษาระบบ แต่ฉันคาดว่าจะพบเอกสารเกี่ยวกับผู้ใช้ "k8saas โครงสร้างพื้นฐาน" แทนที่จะไม่พบข้อมูลอ้างอิงใดๆ

ตอบกลับ

Kulap

คำถามนี้เป็นภาษาอื่นๆ:

EN: Malicious requests from private network (Kubernetes)

TH: คำขอที่เป็นอันตรายจากเครือข่ายส่วนตัว (Kubernetes)

RO: Solicitări rău intenționate din rețeaua privată (Kubernetes)

RU: Вредоносные запросы из частной сети (Kubernetes)

VI: Yêu cầu độc hại từ mạng riêng (Kubernetes)

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา