漏洞 / 預警 / 運維html
安全通告
Saltstack 定位是自動化運維工具,運維工具一旦出現漏洞危害影響較大。同類型的運維工具還有ansible,puppet,Chefpython
國外安全團體F-Secure報告了兩個Saltstack漏洞nginx
包含兩個CVEgit
CVE-2020-11651 水平權限繞過漏洞github
CVE-2020-11652 任意文件讀寫漏洞web
經過對這兩個漏洞的利用能夠實現RCE的效果,在控制salt-master以後,經過salt大面積控制在運維繫統下的主機docker
關於Saltstack
SaltStack是基於Python開發的一套C/S架構配置管理工具,是一個服務器基礎架構集中化管理平臺,具有配置管理、遠程執行、監控等功能,基於Python語言實現,結合輕量級消息隊列(ZeroMQ)與Python第三方模塊(Pyzmq、PyCrypto、Pyjinjia二、python-msgpack和PyYAML等)構建。安全
影響範圍
SaltStack < 2019.2.4 bash
SaltStack < 3000.2服務器
問題排查
1.查看進程
ps -ef|grep salt
如圖所示爲阿里雲中某機器中招後截圖,其中三個salt相關進程。 alicloud-salt-minion 爲官方進程 /tmp/salt-minions 爲挖礦樣本
md5sum /tmp/salt-minions 計算挖礦樣本hash爲
目前已知惡意hash以下:
a28ded80d7ab5c69d6ccde4602eef861 8ec3385e20d6d9a88bc95831783beaeb2c5cbc18d1796fd64f377c43175e79a3 dc5b2fa7f85aa0bbd226afe3b5fcaeea defc9efd1b430aea797e573922fa49ae
file命令查看文件類型,挖礦進程爲elf文件
正常文件爲python腳本文件
2.檢查網路連接
netstat -anp|grep tcp|grep ESTABLISHED
如圖所示,排除掉本地鏈接、排除掉入向連接,觀察外連進程狀態。
已知挖礦主機遠程IP以下:
- 217.12.210.192
- 206.189.92.32
3.阿里雲安全面板通知 若是您使用的阿里雲,能夠在安全面板上看到如圖相似告警,請注意關注安全告警
4.其餘行爲 目前發現該挖礦程序會關閉cpu佔用較高的進程,在系統日誌裏能夠查看到kill記錄
grep -r "kill" /var/log/messages*
也會關閉docker中的其餘挖礦程序
修復建議
建議重裝系統,由於salt進程權限爲root權限,理論上被黑後,黑客擁有任意權限,可能種入隱藏後門。若是暫時沒法重裝系統可使用阿里雲提供的一鍵清理腳本
curl https://ageis-check.oss-cn-hangzhou.aliyuncs.com/salt_miner_clean.sh | /bin/bash升級到安全版本 2019.2.4 3000.2
打開saltstack自動更新
Salt Master所在機器的防火牆、安全組上配置策略,只容許可信ip訪問4505和4506端口
關於河馬
專一WEB安全研究與產品開發,有多年WEBSHELL清理檢測經驗
參考
-----------------------------------------------------------------------------
小夥伴們快去看看你有沒有給挖礦組織作貢獻
本文分享自微信公衆號 - 這裏是河馬(gh_d110440c4890)。
若有侵權,請聯繫 support@oschina.cn 刪除。
本文參與「OSC源創計劃」,歡迎正在閱讀的你也加入,一塊兒分享。