今天早上起床看手机,发现阿里云发来一条短信,通知说装了 Ubuntu 的服务器上有包含恶意代码的文件。
上班之后登录阿里云控制台看了一下,发现存在这么一个文件:/usr/lib/ubuntu-advantage/apt_news.py
,阿里云的 AI 告警分析功能还解释这个挖矿脚本的所实现的功能。
现在比较好奇的就是这个脚本是怎么被植入服务器的,服务器上运行了 Nginx ,Docker 里跑着 Strapi 和 MySQL 。
安全策略方面,UFW 只开放了业务需要的几个端口,包括常见的 80 、443 、22 ,还有一个网站所需的 8001 ,以及 STMP 服务要用的 587 端口,另外还配置了 fail2ban 。
而且,这台服务器默认禁止了外网 IP 访问,只允许内网的另一台服务器通过上面这些端口访问。
这样的话,感觉 Web 应用层面出了漏洞的可能性比较大?
现在已经配置了 UFW 和 fail2ban 了,还出现了这种情况,有什么别的方法可以检查哪里还有什么漏洞么。
1
villivateur 134 天前 1
ssh 禁用密码登录了吗?
|
2
ericguo 134 天前 1
补丁打满了? Ubuntu 版本你也没说啊,真的只允许内网的另外一台服务器访问么?你是怎么设置的?
|
3
dzdh 134 天前 1
首先,这不是挖矿病毒
起码根据文件路径和文件名看,这就是 ubuntu 的普通的 apt 里塞广告或者检查什么更新的一个脚本。当然并不 100%排除这一定不是挖矿病毒。 最简单的是,你把 ubuntu-advantage 给卸载掉看还有这货没。 |
4
dzdh 134 天前 1
刚才看了看,这个文件是 ubuntu-pro 的一部分,如果你没开启 Ubuntu Pro 的功能,可以直接卸载 ubuntu-pro-client 这个包,就可以了。 https://ubuntu.com/pro |
5
zhangshine 134 天前
误报吧
|
6
dream4ever OP @villivateur 禁用密码登录了。
|
7
yellowbean 134 天前 via Android
应该是勒索或者肉鸡 阿里云那点性能挖不出啥矿
|
8
dream4ever OP @ericguo 一直不知道 Ubuntu 要去哪儿打补丁,主做开发,兼做运维。系统版本是 2204 ,阿里云安全组默认是禁止所有入方向的请求的。
|
9
BadFox 134 天前
比对一下 hash ,可能是误报。
|
10
dream4ever OP @dzdh
@zhangshine @yellowbean 把阿里云上提供的有毒源文件下载过来看了看,是个二进制文件,用文本编辑器打开看了看,的确有些可疑。 又看了看 /usr/lib/ubuntu-advantage/apt_news.py 文件的内容,感觉挺正常的。 |
11
flyrr 134 天前
@dream4ever 前段时间我也遇到了,我的大概率是 Flink web 面板被提交东西执行了,给我设置了个定时任务,15 分钟下载一次挖矿代码执行。
|
12
liaohongxing 134 天前 1
openssh server 最近爆出 CVE-2024-6387 OpenSSH Server 漏洞, 也不是绝对安全,定期上去 apt update ,apt upgrade ,更新一下
|
13
dream4ever OP @liaohongxing 多谢,我去看看去
|
14
zhangshine 134 天前
@dream4ever 上传到 virustotal 扫描下
|
15
grady8866 134 天前
这不是病毒吧,我几个 Ubuntu20.04 设备也都有,内容:
```python #!/usr/bin/python3 from datetime import datetime, timedelta, timezone from uaclient import apt, log from uaclient.apt_news import update_apt_news from uaclient.config import UAConfig def main(cfg: UAConfig): if not cfg.apt_news: return last_update = apt.get_apt_cache_datetime() one_day_ago = datetime.now(timezone.utc) - timedelta(days=1) if last_update is not None and last_update > one_day_ago: return update_apt_news(cfg) if __name__ == "__main__": log.setup_journald_logging() cfg = UAConfig() main(cfg) ``` |
16
lucky85984 134 天前
受影响的 OpenSSH 版本
低于 4.4p1 的 OpenSSH 版本容易受到此信号处理程序竞争条件的影响,除非它们针对 CVE-2006-5051 和 CVE-2008-4109 进行了修补。 由于 CVE-2006-5051 的变换补丁,从 4.4p1 到(但不包括) 8.5p1 的版本不再存在此漏洞,该补丁使之前不安全的功能变得安全。 由于意外删除了功能中的关键组件,该漏洞在 8.5p1 至 9.8p1 (但不包括)版本中再次出现。 |
17
kenilalexandra 134 天前
把有毒的二进制文件发现呢?
|
18
feelinglucky 133 天前
这是 Ubuntu 自己夹带私货,有一说一建议还是用 Debian
|
19
AssassinLOVE 127 天前
emmmmm
dpkg -l | grep ubuntu-pro | awk '{print $2}' | xargs apt-get remove --purge -y 逃~ |