New issue
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
真牛比的啊。自带挖矿病毒 #102
Comments
感谢提醒,我去调查一下。 |
@yufeikang 请问您能提供下运行的版本是什么? |
如果方便的话,麻烦您提供一下信息:
|
取的master分支,病毒主进程是54天前运行起来的 |
@yufeikang 感谢回复! 您可以从 https://github.com/imWildCat/scylla/pulls?q=is%3Apr+is%3Aclosed 看到,最近有一些安全性修复,因为之前的依赖里,漏洞特别多,大概 20 多个。因为大半年没有更新了。 1.1.6 之后特别更新了一下。 我今天花了几个小时看了下最近的 PRs,暂时没有发现代码投毒的情况。很有可能是某个依赖带有挖矿脚本。 另外请问您是在 Docker 运行的么?如果是的话,能否把 Docker container 导出为 image 压缩后发出来分析? 另外,您可以升级到最新版尝试是否有问题,也可以通过 pip 安装而不是源码安装。 我会保留这个 issue 为 open,持续最少半个月,来看是否有类似安全问题。 再次感谢您的报告! |
感谢你的重视 @imWildCat https://drive.google.com/open?id=1GdkxFQ13xEVewpRgXWPbUB10ozKDmzm7 |
@yufeikang 简单研究了一下,这个版本是 1.1.5。可能含有很多漏洞。由于 |
使用最新版本的docker镜像。依然还有挖矿病毒。tmp文件如下 |
@yufeikang 自从您这个 issue 开启以来,我在多台服务器上跑了最新版本,都没有发现挖矿脚本的情况。您能否检查下或者重装下 docker 宿主机?我觉得很有可能是宿主机被放了挖矿脚本。 |
已经试过了,挖矿病毒并不是立即出现,会在容器重启后24小时后启动 |
真牛比的啊。自带挖矿病毒
total 3.3M
drwxrwxrwt 3 root root 4.0K Aug 21 20:25 .
drwxr-xr-x 4 root root 4.0K Aug 10 17:35 ..
-rw-r--r-- 1 999 docker 92 Aug 21 20:25 appendonly.aof
-rw-r--r-- 1 999 docker 92 Aug 20 06:16 backup.db
-rw-r--r-- 1 999 docker 42K Aug 21 20:25 exp_lin.so
-rw-r--r-- 1 999 docker 248 Aug 20 06:16 root
drwxr-xr-x 2 999 docker 4.0K Jul 21 17:24 xmrig-2.99.0-beta
-rw-r--r-- 1 999 docker 3.3M Aug 21 20:25 xm.tgz
➜ tmp pwd
/var/lib/docker/overlay2/57461f032dc25e8464f73104d95bd20536f6255b1691933e3999a1b280fac519/diff/tmp
The text was updated successfully, but these errors were encountered: