真牛比的啊。自带挖矿病毒 #102
Comments
|
感谢提醒,我去调查一下。 |
|
@yufeikang 请问您能提供下运行的版本是什么? |
|
如果方便的话,麻烦您提供一下信息:
|
|
取的master分支,病毒主进程是54天前运行起来的 |
|
@yufeikang 感谢回复! 您可以从 https://github.com/imWildCat/scylla/pulls?q=is%3Apr+is%3Aclosed 看到,最近有一些安全性修复,因为之前的依赖里,漏洞特别多,大概 20 多个。因为大半年没有更新了。 1.1.6 之后特别更新了一下。 我今天花了几个小时看了下最近的 PRs,暂时没有发现代码投毒的情况。很有可能是某个依赖带有挖矿脚本。 另外请问您是在 Docker 运行的么?如果是的话,能否把 Docker container 导出为 image 压缩后发出来分析? 另外,您可以升级到最新版尝试是否有问题,也可以通过 pip 安装而不是源码安装。 我会保留这个 issue 为 open,持续最少半个月,来看是否有类似安全问题。 再次感谢您的报告! |
|
感谢你的重视 @imWildCat https://drive.google.com/open?id=1GdkxFQ13xEVewpRgXWPbUB10ozKDmzm7 |
|
@yufeikang 简单研究了一下,这个版本是 1.1.5。可能含有很多漏洞。由于 |
|
使用最新版本的docker镜像。依然还有挖矿病毒。tmp文件如下 |
|
@yufeikang 自从您这个 issue 开启以来,我在多台服务器上跑了最新版本,都没有发现挖矿脚本的情况。您能否检查下或者重装下 docker 宿主机?我觉得很有可能是宿主机被放了挖矿脚本。 |
|
已经试过了,挖矿病毒并不是立即出现,会在容器重启后24小时后启动 |
真牛比的啊。自带挖矿病毒
total 3.3M
drwxrwxrwt 3 root root 4.0K Aug 21 20:25 .
drwxr-xr-x 4 root root 4.0K Aug 10 17:35 ..
-rw-r--r-- 1 999 docker 92 Aug 21 20:25 appendonly.aof
-rw-r--r-- 1 999 docker 92 Aug 20 06:16 backup.db
-rw-r--r-- 1 999 docker 42K Aug 21 20:25 exp_lin.so
-rw-r--r-- 1 999 docker 248 Aug 20 06:16 root
drwxr-xr-x 2 999 docker 4.0K Jul 21 17:24 xmrig-2.99.0-beta
-rw-r--r-- 1 999 docker 3.3M Aug 21 20:25 xm.tgz
➜ tmp pwd
/var/lib/docker/overlay2/57461f032dc25e8464f73104d95bd20536f6255b1691933e3999a1b280fac519/diff/tmp
The text was updated successfully, but these errors were encountered: