记一次kdevtmpfsi挖矿事件

开发环境的应用服务器突然收到腾讯云的日志检测到存在未处理的木马文件,登录上应用服务器发现CPU一直被一个进程占用100%的状态,文章记录整个病毒处理过程。

杀掉进程并删除中间文件

首先通过top查看进程ID,并使用kill删除进程。

1
2
3
4
5
6
7
8
9
10
## 查看是否有守护进程
systemctl status pid
## 删除进程
kill -9 pid
## 删除掉中间文件
rm -rf /tmp/kdevtmpfsi
## 查看可疑定时任务
crontab -l
## 修改定时任务
crontab -e

排查文件

1
find / -name "*kdevtmpfsi*"

这里我们排查到docker overlay2下的仍然存在相似文件,而使用这个overlay2的docker镜像为Spring Cloud Gateway的服务。
面向Google运维发现是Spring Cloud Gateway的版本引起的,项目中使用的Spring Cloud版本是2021.0.0,而2021.0.0版本对应的Gateway版本是3.1.0,官方在3.1.1中修复了这个bug。详细信息如下

漏洞详情

当Spring Cloud Gateway启用和暴露 Gateway Actuator 端点时,使用 Spring Cloud Gateway 的应用程序可受到代码注入攻击。攻击者可以发送特制的恶意请求,从而远程执行任意代码。
漏洞名称:Spring Cloud Gateway 远程代码执行漏洞
漏洞编号:CVE-2022-22947
危害等级:高

影响范围

受影响版本

  • Spring Cloud Gateway < 3.1.1
  • Spring Cloud Gateway < 3.0.7
  • Spring Cloud Gateway 旧的、不受支持的版本也会受到影响

安全版本

  • Spring Cloud Gateway >= 3.1.1
  • Spring Cloud Gateway >= 3.0.7

解决方案

目前, Spring Cloud 官方已发布安全更新,请及时下载安全版本进行升级和采取以下措施进行防护:
如果不需要Actuator端点,可以通过management.endpoint.gateway.enable:false配置将其禁用;
如果需要Actuator端点,则应使用Spring Security对其进行保护。

我们将Spring Cloud版本升级为2021.0.1即可。

作者

Labradors

发布于

2022-04-07

更新于

2022-04-07

许可协议

评论