阿里云 Ubuntu 服务器还是中了挖矿病毒了

dream4ever · 2024-7-10 09:04:09 · 202 次点击
今天早上起床看手机,发现阿里云发来一条短信,通知说装了 Ubuntu 的服务器上有包含恶意代码的文件。

上班之后登录阿里云控制台看了一下,发现存在这么一个文件:`/usr/lib/ubuntu-advantage/apt_news.py`,阿里云的 AI 告警分析功能还解释这个挖矿脚本的所实现的功能。

现在比较好奇的就是这个脚本是怎么被植入服务器的,服务器上运行了 Nginx ,Docker 里跑着 Strapi 和 MySQL 。

安全策略方面,UFW 只开放了业务需要的几个端口,包括常见的 80 、443 、22 ,还有一个网站所需的 8001 ,以及 STMP 服务要用的 587 端口,另外还配置了 fail2ban 。

而且,这台服务器默认禁止了外网 IP 访问,只允许内网的另一台服务器通过上面这些端口访问。

这样的话,感觉 Web 应用层面出了漏洞的可能性比较大?

现在已经配置了 UFW 和 fail2ban 了,还出现了这种情况,有什么别的方法可以检查哪里还有什么漏洞么。
举报· 202 次点击
登录 注册 站外分享
13 条回复  
villivateur 小成 2024-7-10 09:06:55
ssh 禁用密码登录了吗?
ericguo 小成 2024-7-10 09:08:59
补丁打满了? Ubuntu 版本你也没说啊,真的只允许内网的另外一台服务器访问么?你是怎么设置的?
dzdh 小成 2024-7-10 09:22:49
首先,这不是挖矿病毒

起码根据文件路径和文件名看,这就是 ubuntu 的普通的 apt 里塞广告或者检查什么更新的一个脚本。当然并不 100%排除这一定不是挖矿病毒。

最简单的是,你把 ubuntu-advantage 给卸载掉看还有这货没。
zhangshine 小成 2024-7-10 09:25:59
误报吧
yellowbean 小成 2024-7-10 09:40:13
应该是勒索或者肉鸡 阿里云那点性能挖不出啥矿
BadFox 小成 2024-7-10 09:43:45
比对一下 hash ,可能是误报。
flyrr 小成 2024-7-10 10:05:23
@dream4efer 前段时间我也遇到了,我的大概率是 Flink web 面板被提交东西执行了,给我设置了个定时任务,15 分钟下载一次挖矿代码执行。
liaohongxing 小成 2024-7-10 10:34:06
openssh serfer 最近爆出 CVE-2024-6387 OpenSSH Serfer 漏洞, 也不是绝对安全,定期上去 apt update  ,apt upgrade ,更新一下
grady8866 小成 2024-7-10 15:45:11
这不是病毒吧,我几个 Ubuntu20.04 设备也都有,内容:

```python
#!/usr/bin/python3

from datetime import datetime, timedelta, timezone

from uaclient import apt, log
from uaclient.apt_news import update_apt_news
from uaclient.config import UAConfig


def main(cfg: UAConfig):
    if not cfg.apt_news:
        return

    last_update = apt.get_apt_cache_datetime()
    one_day_ago = datetime.now(timezone.utc) - timedelta(days=1)
    if last_update is not None and last_update > one_day_ago:
        return

    update_apt_news(cfg)


if __name__ == "__main__":
    log.setup_journald_logging()
    cfg = UAConfig()
    main(cfg)
```
12下一页
返回顶部