这是一个创建于 507 天前的主题,其中的信息可能已经有所发展或是发生改变。
今天早上起床看手机,发现阿里云发来一条短信,通知说装了 Ubuntu 的服务器上有包含恶意代码的文件。
上班之后登录阿里云控制台看了一下,发现存在这么一个文件:/usr/lib/ubuntu-advantage/apt_news.py,阿里云的 AI 告警分析功能还解释这个挖矿脚本的所实现的功能。
现在比较好奇的就是这个脚本是怎么被植入服务器的,服务器上运行了 Nginx ,Docker 里跑着 Strapi 和 MySQL 。
安全策略方面,UFW 只开放了业务需要的几个端口,包括常见的 80 、443 、22 ,还有一个网站所需的 8001 ,以及 STMP 服务要用的 587 端口,另外还配置了 fail2ban 。
而且,这台服务器默认禁止了外网 IP 访问,只允许内网的另一台服务器通过上面这些端口访问。
这样的话,感觉 Web 应用层面出了漏洞的可能性比较大?
现在已经配置了 UFW 和 fail2ban 了,还出现了这种情况,有什么别的方法可以检查哪里还有什么漏洞么。
 | 1 villivateur 2024-07-10 09:06:55 +08:00  1 ssh 禁用密码登录了吗? |
 | 2 ericguo 2024-07-10 09:08:59 +08:00 1 补丁打满了? Ubuntu 版本你也没说啊,真的只允许内网的另外一台服务器访问么?你是怎么设置的? |
 | 3 dzdh 2024-07-10 09:22:49 +08:00 1 首先,这不是挖矿病毒 起码根据文件路径和文件名看,这就是 ubuntu 的普通的 apt 里塞广告或者检查什么更新的一个脚本。当然并不 100%排除这一定不是挖矿病毒。 最简单的是,你把 ubuntu-advantage 给卸载掉看还有这货没。 |
| 4 dzdh 2024-07-10 09:24:04 +08:00 1  刚才看了看,这个文件是 ubuntu-pro 的一部分,如果你没开启 Ubuntu Pro 的功能,可以直接卸载 ubuntu-pro-client 这个包,就可以了。 https://ubuntu.com/pro |
 | 5 zhangshine 2024-07-10 09:25:59 +08:00 误报吧 |
 | 6 dream4ever OP @villivateur 禁用密码登录了。 |
 | 7 yellowbean 2024-07-10 09:40:13 +08:00 via Android 应该是勒索或者肉鸡 阿里云那点性能挖不出啥矿 |
| 8 dream4ever OP @ericguo 一直不知道 Ubuntu 要去哪儿打补丁,主做开发,兼做运维。系统版本是 2204 ,阿里云安全组默认是禁止所有入方向的请求的。 |
 | 9 BadFox 2024-07-10 09:43:45 +08:00 比对一下 hash ,可能是误报。 |
| 10 dream4ever OP @dzdh @zhangshine @yellowbean 把阿里云上提供的有毒源文件下载过来看了看,是个二进制文件,用文本编辑器打开看了看,的确有些可疑。 又看了看 /usr/lib/ubuntu-advantage/apt_news.py 文件的内容,感觉挺正常的。 |
 | 11 flyrr 2024-07-10 10:05:23 +08:00 @dream4ever 前段时间我也遇到了,我的大概率是 Flink web 面板被提交东西执行了,给我设置了个定时任务,15 分钟下载一次挖矿代码执行。 |
 | 12 liaohongxing 2024-07-10 10:34:06 +08:00 1 openssh server 最近爆出 CVE-2024-6387 OpenSSH Server 漏洞, 也不是绝对安全,定期上去 aptupdate ,apt upgrade ,更新一下 |
| 13 dream4ever OP @liaohongxing 多谢,我去看看去 |
| 14 zhangshine 2024-07-10 11:25:19 +08:00 @dream4ever 上传到 virustotal 扫描下 |
 | 15 grady8866 2024-07-10 15:45:11 +08:00 这不是病毒吧,我几个 Ubuntu20.04 设备也都有,内容: ```python #!/usr/bin/python3 from datetime import datetime, timedelta, timezone from uaclient import apt, log from uaclient.apt_news import update_apt_news from uaclient.config import UAConfig def main(cfg: UAConfig): if not cfg.apt_news: return last_update = apt.get_apt_cache_datetime() one_day_ago = datetime.now(timezone.utc) - timedelta(days=1) if last_update is not None and last_update > one_day_ago: return update_apt_news(cfg) if __name__ == "__main__": log.setup_journald_logging() cfg = UAConfig() main(cfg) ``` |
 | 16 B6P2a9cFpf5T3N85 2024-07-10 17:12:44 +08:00 受影响的 OpenSSH 版本 低于 4.4p1 的 OpenSSH 版本容易受到此信号处理程序竞争条件的影响,除非它们针对 CVE-2006-5051 和 CVE-2008-4109 进行了修补。 由于 CVE-2006-5051 的变换补丁,从 4.4p1 到(但不包括) 8.5p1 的版本不再存在此漏洞,该补丁使之前不安全的功能变得安全。 由于意外删除了功能中的关键组件,该漏洞在 8.5p1 至 9.8p1 (但不包括)版本中再次出现。 |
 | 17 kenilalexandra 2024-07-10 17:21:48 +08:00 把有毒的二进制文件发现呢? |
 | 18 feelinglucky 2024-07-11 12:59:31 +08:00 这是 Ubuntu 自己夹带私货,有一说一建议还是用 Debian |
 | 19 AssassinLOVE 2024-07-17 09:26:44 +08:00 emmmmm dpkg -l | grep ubuntu-pro | awk '{print $2}' | xargs apt-get remove --purge -y 逃~ |
Select Language