TiSpark 被人添加了挖矿程序,该怎么清理?

🪐 TiDB 技术问题 安全
1

刚才发现spark集群里又有挖矿程序了,已经第三次了,我们改过密码,做了白名单,但又发现了,这次我用systemctl status查看,发现它和tispark的worker是一起的

image
image1232×104 67.3 KB

image
image2408×372 295 KB

能排查下吗

2 个赞
2

ls -rtl /proc/22395 COMMAND有点像

2 个赞
3

看下定时任务:

su -u tidb && crontab -L

netstat -ntapl 看看有 没有异常的的外网链接

3 个赞
4

image

image
image1002×72 64.9 KB

没有异常定时,全是从这个网址wget

2 个赞
5

应该是 tidb user 你这个是root

2 个赞
6

image
image750×38 19.8 KB

image
image768×44 25.3 KB

这两个

1 个赞
7

https://segmentfault.com/a/1190000021794560

3 个赞
8

感觉你们应该有 可以上传jar包的地方 而去还是弱口令

2 个赞
9

上次发生之后已经改成强口令了,

image
image1138×80 73.8 KB

1 个赞
10

没清理干净 :joy:

2 个赞
11

:rofl:好像是这样,我在搞一遍吧

1 个赞
12

spark 2.4.5 版本之前存在 RPC 认证绕过漏洞,可能导致远程代码执行,更早期的版本还有过 CVE-2018-11770 无效认证和 CVE-2017-12612 反序列化漏洞(详见:Security | Apache Spark),如果 spark 集群有反复中挖矿病毒的情况,建议排查一下 spark 版本是否受历史漏洞影响。

2 个赞
13

kdevtmpfsi一款恶意加密矿工,被识别为比特币矿工,下面的信息图说明了攻击的完整流程:

05%20PM
05%20PM825×511 133 KB

图像来源:https://blog.aquasec.com/threat-alert-kinsing-malware-container-vulnerability

将攻击的每个组件映射到相应的MITREAtt&ck 策略和技术类别:

15%20PM
15%20PM830×350 56.5 KB

1 kdevtmpfsi的目前有这几个扫描工具可以检测
kdevtmpfsi
ClamAV 25672 0.100.2 2019-12-23 PUA.Unix.Coinminer.XMRig-6683890-0
IKARUS 5.02.09 V1.32.39.0 2019-12-23 PUA.CoinMiner
NOD32 9846 4.5.15 2019-12-24 a variant of Linux/CoinMiner.AV potentially unwanted application
卡巴斯基(kavfs) 8.0.4.312 8.0.4.312 2019-01-25 Suspicious
奇虎360 1.0.1 1.0.1 2019-12-24 LINUX/Trojan.39d

2 如何查找和删除该矿工kdevtmpfsi (linux - kdevtmpfsi - how to find and delete that miner - Stack Overflow)
例如:你在 Linux (Ubuntu) 服务器进程中看到,名为: kdevtmpfsi . 它使用了所有 CPU 和 RAM 的 100%…
1) 首先 - 关闭服务器上的 redis 端口或添加密码。
2)使用 .sh 指令从 crontab 命令中删除
3)从 docker/{{volume}}/_data 文件夹中删除散列文件
4)删除 tmp/kdevtmpfsi 文件

3 可以在你互联网出口添加以下IP地址和URL恶意外联 阻止访问

http://142.44.191.122/d.sh
http://142.44.191.122/kinsing/
http://142.44.191.122/al.sh
http://142.44.191.122/cron.sh
http://142.44.191.12 /
http://142.44.191.122/kinsing
http://142.44.191.122/ex.sh
http://185.92.74.42/w.sh
http://185.92.74.42/d.sh
http://217.12.221.244 /
http://217.12.221.24/d.sh
http://217.12.221.244/kinsing
http://217.12.221.244/j.sh
http://217.12.221.244/t.sh
http://217.12.221.244 /spr.sh
http://217.12.221.244/spre.sh
http://217.12.221.244/p.sh
http://217.12.221.244/Application.jar
http://217.12.221.244/f.sh
http: //www.traffclick.ru/
http://www.mechta-dachnika-tut.ru/
http://www.rus-wintrillions-com.ru/
http://rus-wintrillions-com.ru/
http://stroitelnye-jekologicheskie-materialy2016.ru
45.10.88.102
91.215.169.111
193.33.87.219

3 个赞
14

通过Iptables策略禁止找到的特定服务端IP:

iptables -A INPUT --src 193.33.87.219 -j DROP iptables -A INPUT --src 91.215.169.111 -j DROP iptables -A INPUT --src 45.10.88.102 -j DROP iptables -A INPUT --src 217.12.221.24 -j DROP iptables -A INPUT --src 217.12.221.244 -j DROP iptables -A INPUT --src 185.92.74.42 -j DROP iptables -A INPUT --src 142.44.191.122 -j DROP iptables -A INPUT --src 195.3.146.118 -j DROP

2 个赞
15

感谢大佬

16

这东西太难搞了,从crontab到看启动的端口,各种清理,最后还是没搞干净,过段时间又有了,只能摘了重新装了,大家有没有好的办法可以分享下。。。

17

我们的最佳实践是重新装,开防火墙,隔离网络,使用堡垒机访问,临时办法,清理过一遍之后,开防火墙我们感觉有点作用。

18

重新部署应用,配置防火墙策略,不行就断开外网。

19

此话题已在最后回复的 1 分钟后被自动关闭。不再允许新回复。