V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
dream4ever
V2EX  ›  信息安全

阿里云 Ubuntu 服务器还是中了挖矿病毒了

  •  
  •   dream4ever · 14 天前 · 3451 次点击

    今天早上起床看手机,发现阿里云发来一条短信,通知说装了 Ubuntu 的服务器上有包含恶意代码的文件。

    上班之后登录阿里云控制台看了一下,发现存在这么一个文件:/usr/lib/ubuntu-advantage/apt_news.py,阿里云的 AI 告警分析功能还解释这个挖矿脚本的所实现的功能。

    现在比较好奇的就是这个脚本是怎么被植入服务器的,服务器上运行了 Nginx ,Docker 里跑着 Strapi 和 MySQL 。

    安全策略方面,UFW 只开放了业务需要的几个端口,包括常见的 80 、443 、22 ,还有一个网站所需的 8001 ,以及 STMP 服务要用的 587 端口,另外还配置了 fail2ban 。

    而且,这台服务器默认禁止了外网 IP 访问,只允许内网的另一台服务器通过上面这些端口访问。

    这样的话,感觉 Web 应用层面出了漏洞的可能性比较大?

    现在已经配置了 UFW 和 fail2ban 了,还出现了这种情况,有什么别的方法可以检查哪里还有什么漏洞么。

    19 条回复    2024-07-17 09:26:44 +08:00
    villivateur
        1
    villivateur  
       14 天前   ❤️ 1
    ssh 禁用密码登录了吗?
    ericguo
        2
    ericguo  
       14 天前   ❤️ 1
    补丁打满了? Ubuntu 版本你也没说啊,真的只允许内网的另外一台服务器访问么?你是怎么设置的?
    dzdh
        3
    dzdh  
       14 天前   ❤️ 1
    首先,这不是挖矿病毒

    起码根据文件路径和文件名看,这就是 ubuntu 的普通的 apt 里塞广告或者检查什么更新的一个脚本。当然并不 100%排除这一定不是挖矿病毒。

    最简单的是,你把 ubuntu-advantage 给卸载掉看还有这货没。
    dzdh
        4
    dzdh  
       14 天前   ❤️ 1


    刚才看了看,这个文件是 ubuntu-pro 的一部分,如果你没开启 Ubuntu Pro 的功能,可以直接卸载 ubuntu-pro-client 这个包,就可以了。

    https://ubuntu.com/pro
    zhangshine
        5
    zhangshine  
       14 天前
    误报吧
    dream4ever
        6
    dream4ever  
    OP
       14 天前
    @villivateur 禁用密码登录了。
    yellowbean
        7
    yellowbean  
       14 天前 via Android
    应该是勒索或者肉鸡 阿里云那点性能挖不出啥矿
    dream4ever
        8
    dream4ever  
    OP
       14 天前
    @ericguo 一直不知道 Ubuntu 要去哪儿打补丁,主做开发,兼做运维。系统版本是 2204 ,阿里云安全组默认是禁止所有入方向的请求的。
    BadFox
        9
    BadFox  
       14 天前
    比对一下 hash ,可能是误报。
    dream4ever
        10
    dream4ever  
    OP
       14 天前
    @dzdh
    @zhangshine
    @yellowbean 把阿里云上提供的有毒源文件下载过来看了看,是个二进制文件,用文本编辑器打开看了看,的确有些可疑。

    又看了看 /usr/lib/ubuntu-advantage/apt_news.py 文件的内容,感觉挺正常的。
    flyrr
        11
    flyrr  
       14 天前
    @dream4ever 前段时间我也遇到了,我的大概率是 Flink web 面板被提交东西执行了,给我设置了个定时任务,15 分钟下载一次挖矿代码执行。
    liaohongxing
        12
    liaohongxing  
       14 天前   ❤️ 1
    openssh server 最近爆出 CVE-2024-6387 OpenSSH Server 漏洞, 也不是绝对安全,定期上去 apt update ,apt upgrade ,更新一下
    dream4ever
        13
    dream4ever  
    OP
       14 天前
    @liaohongxing 多谢,我去看看去
    zhangshine
        14
    zhangshine  
       14 天前
    @dream4ever 上传到 virustotal 扫描下
    grady8866
        15
    grady8866  
       14 天前
    这不是病毒吧,我几个 Ubuntu20.04 设备也都有,内容:

    ```python
    #!/usr/bin/python3

    from datetime import datetime, timedelta, timezone

    from uaclient import apt, log
    from uaclient.apt_news import update_apt_news
    from uaclient.config import UAConfig


    def main(cfg: UAConfig):
    if not cfg.apt_news:
    return

    last_update = apt.get_apt_cache_datetime()
    one_day_ago = datetime.now(timezone.utc) - timedelta(days=1)
    if last_update is not None and last_update > one_day_ago:
    return

    update_apt_news(cfg)


    if __name__ == "__main__":
    log.setup_journald_logging()
    cfg = UAConfig()
    main(cfg)
    ```
    lucky85984
        16
    lucky85984  
       14 天前
    受影响的 OpenSSH 版本
    低于 4.4p1 的 OpenSSH 版本容易受到此信号处理程序竞争条件的影响,除非它们针对 CVE-2006-5051 和 CVE-2008-4109 进行了修补。
    由于 CVE-2006-5051 的变换补丁,从 4.4p1 到(但不包括) 8.5p1 的版本不再存在此漏洞,该补丁使之前不安全的功能变得安全。
    由于意外删除了功能中的关键组件,该漏洞在 8.5p1 至 9.8p1 (但不包括)版本中再次出现。
    kenilalexandra
        17
    kenilalexandra  
       14 天前
    把有毒的二进制文件发现呢?
    feelinglucky
        18
    feelinglucky  
       13 天前
    这是 Ubuntu 自己夹带私货,有一说一建议还是用 Debian
    AssassinLOVE
        19
    AssassinLOVE  
       7 天前
    emmmmm

    dpkg -l | grep ubuntu-pro | awk '{print $2}' | xargs apt-get remove --purge -y

    逃~
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1018 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 36ms · UTC 19:41 · PVG 03:41 · LAX 12:41 · JFK 15:41
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.