บรรจวบ เข้าสู่ระบบ
Score:7
Simple Fellow avatar Ubuntu

กระบวนการขุด crypto ยังคงปรากฏบนเซิร์ฟเวอร์

ธง in
Simple Fellow

ฉันเพิ่งเริ่มใช้เซิร์ฟเวอร์ Ubuntu ระยะไกลสำหรับการพัฒนาและทดสอบเครื่อง อย่างไรก็ตาม ผู้ให้บริการโฮสติ้งรายงานว่ากระบวนการขุด crypto กำลังทำงานอยู่ และเขาต้องปิดเซิร์ฟเวอร์

ไม่มีบันทึกหรือข้อมูลใด ๆ ที่สามารถระบุกระบวนการนั้นหรือสิ่งใด ๆ ที่สามารถช่วยระบุได้ว่าเกิดอะไรขึ้น แล้วมันก็เกิดขึ้นอีกครั้ง แต่คราวนี้พวกเขาจับสิ่งนี้ได้:

ผู้ใช้ PID PR NI VIRT RES SHR S %CPU %MEM TIME+ คำสั่ง  
246369 redis     20   0   13928  11444    908 S 746.7   0.2  62801:13 /tmp/kmv --pool pool.hashvault.pro:80 --username TRTLv2TW8sjC5LmSpiDdRZ2ndnEwPRpJ9Lgz3vgGY2CTSLkLeKAUFMefEeT6idQBxzSLsXfAvAqfhH5zkxMM3sHu2RL8xh1n5Pg --password x --algorithm chukwa_v2

พอร์ตเดียวที่เปิดอยู่คือพอร์ต Redis, 6379

admin@nicotine2:~$ สถานะ sudo ufw
สถานะ: ใช้งานอยู่

ถึงการดำเนินการจาก
-- ------ ----
22 อนุญาตได้ทุกที่
9200 ปฏิเสธได้ทุกที่
6379/tcp อนุญาตได้ทุกที่
22 (v6) อนุญาตทุกที่ (v6)
9200 (v6) ปฏิเสธได้ทุกที่ (v6)
6379/tcp (v6) อนุญาตได้ทุกที่ (v6)

พอเช็คดูไม่มี /tmp/kmv โฟลเดอร์ได้ทุกที่ที่จะพบ เรื่องนี้เกิดขึ้นเป็นครั้งที่ 2 แล้ว

เบาะแส คำแนะนำ หรือข้อเสนอแนะใด ๆ เพื่อหลีกเลี่ยงสิ่งนี้?

5340
3 + 0
Score:24
avatar Ubuntu
ธง us
TheHermit

Redis ทราบดีถึงช่องโหว่ในการเรียกใช้โค้ดจากระยะไกล หากคุณไม่เปิดใช้งานการตรวจสอบสิทธิ์

บทความนี้มีข้อมูลเพิ่มเติมเกี่ยวกับปัญหาที่แท้จริงของคุณ

https://www.trendmicro.com/en_gb/research/20/d/exposed-redis-instances-abused-for-remote-code-execution-cryptocurrency-mining.html

0 + 4
Artur Meinild avatar
vn flag
Artur Meinild
จากภาพหน้าจอ คุณพูดถูกแน่นอน - เป็น Redis ที่ถูกเอาเปรียบและใช้ CPU ทั้งหมด
3
ตอบกลับ
kr flag
gronostaj
การเรียกใช้ _any_ บริการที่ไม่ใช่สาธารณะบนอินเทอร์เน็ตโดยไม่มีการรับรองความถูกต้องเป็นความคิดที่ไม่ดี
22
ตอบกลับ
pk flag
user253751
@gronostaj บอกเซิร์ฟเวอร์ HTTPS ที่ไม่ปลอดภัยทั้งหมด พวกเขาอนุญาตให้ทุกคนดึงหน้าโดยไม่ต้องเข้าสู่ระบบ! แม้แต่ Ask Ubuntu ก็มีความเสี่ยง
0
ตอบกลับ
kr flag
gronostaj
@ user253751 ดังนั้น "ไม่ใช่สาธารณะ" ในความคิดเห็นของฉัน
11
ตอบกลับ
Score:7
Artur Meinild avatar Ubuntu
ธง vn
Artur Meinild

คำถามที่ดีจริงๆ คือ คุณติดตั้งอะไร

มีโอกาสดีที่คุณจะติดตั้งแอปพลิเคชันที่ติดไวรัสหรือเสี่ยงต่อซอฟต์แวร์เข้ารหัสลับนี้ นี้ได้อีกด้วย ภาพนักเทียบท่า.

ดังนั้นถอนการติดตั้งทุกอย่าง (หรือติดตั้งอิมเมจเปล่าใหม่อาจดีกว่า) และตรวจสอบเซิร์ฟเวอร์ของคุณขณะติดตั้งสิ่งต่างๆ คุณควรเห็นการขัดขวางของ CPU อย่างมากเมื่อคุณติดตั้งซอฟต์แวร์ cryptomining ที่ติดไวรัส

แก้ไข: หากคุณติดตั้ง ElasticSearch เวอร์ชันเก่าและมีช่องโหว่ (หรืออิมเมจ Docker ที่ไม่เป็นทางการ) คำตอบนั้นค่อนข้างชัดเจน: ติดตั้งเวอร์ชันล่าสุดที่เป็นทางการและแพตช์ความปลอดภัย

แก้ไข 2: TheHermit มีคำตอบที่ถูกต้องที่นี่ เนื่องจากเป็นกระบวนการ redis ที่โฮสต์การหาประโยชน์จากการเข้ารหัสลับ

0 + 3
Simple Fellow avatar
in flag
Simple Fellow
การค้นหาที่ยืดหยุ่นและ redis ติดตั้ง redis จากที่เก็บ Ubuntu ด้วยคำสั่ง apt-get
0
ตอบกลับ
Artur Meinild avatar
vn flag
Artur Meinild
แล้วยางยืดล่ะ? มี [ช่องโหว่ก่อนหน้านี้](https://www.bleepingcomputer.com/news/security/z0miner-botnet-hunts-for-unpatched-elasticsearch-jenkins-servers/) ซึ่ง Elastic ตกเป็นเป้าหมายของบอทขุดคริปโต และ [pool.hashvault.pro](https://hashvault.pro/) เป็นพูลสำหรับขุด Monero ดังนั้นอาจมีการเชื่อมต่อหรือไม่
1
ตอบกลับ
Simple Fellow avatar
in flag
Simple Fellow
ฉันไม่รู้เพราะคุณเห็นว่าพอร์ต 9200 ถูกบล็อกก่อนหน้านี้แล้ว แต่คำถามคือจะหลีกเลี่ยงสิ่งนี้ได้อย่างไรในอนาคต
0
ตอบกลับ
Score:0
Jbamford avatar Ubuntu
ธง fr
Jbamford

สำหรับผู้ที่อนุญาตให้ SSH บนพอร์ต 22 จากทุกที่มีความเสี่ยงด้านความปลอดภัย แนะนำให้จำกัดไว้ที่ IP ที่ใช้สำหรับการจัดการและเปลี่ยนพอร์ต 22 เริ่มต้นเป็นสิ่งที่อยู่ในช่วงที่สูงกว่า เราจำเป็นต้องดูกระบวนการเพิ่มเติมของเซิร์ฟเวอร์ Redis ควรกำหนดค่าด้วย Auth

0 + 0
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา