你有看见我弄丢了的那只喵吗

confluence 中挖矿病毒后续处理方法

BIGGER SLY 195℃ 0评论

0X01 问题描述

有小伙伴告诉我自从2019-06月开始,erpwiki 访问缓慢,我先查看了一下搬瓦工的kIwiWM 的控制面板的状态监控,发现如下图:

然后登陆到我的vps 使用top 命令检查情况如下图所示(下图是正常的):

发现一个command 为星号 ,是真的星号,然后user 为confluence 的很多进程,command 命令都是随机拼接的七位字符串,其中那个command 为星号,占用CPU 能达到500%

当然 我六月份当时在搜索一下发现是一个三月份爆出来的confluence 远程执行楼栋,具体可以看这个链接。不过这个漏洞当时出来的时候一度让我对这个产品安全性产生怀疑,毕竟它家的jira+confluence服务那么多500强客户,不过好在大家都喜欢私有化部署,影响不算太广泛。

0X02 初步解决

我使用Google了一下网络上的解决方案,先查到的是国外的一个gitlab清除脚本,后来发现默安科技是有github上的代码,

https://github.com/MoreSecLab/DDG_MalWare_Clean_Tool

虽然大家都说会改基本的curl 库 或者删除库 只能用busybox 但是我这边还好,直接运行之后即可。我发现我和其他人还不太一样,我运行完之后发现占用的进程依旧存在,该删除的一个没删,千万不要手欠自己删临时文件,否则后面confluence 启动不起来。

这里我们采用手工的方式批量kill 掉用户为confluence 的进程

# pgrep -u confluence | sudo xargs kill -9

然后重启一下即可,到这里病毒算是清理完成。

0X03 问题反思

基本上这事情就告一段落了,但是仔细反思,有如下几个问题:

  1. 自己遇到问题没有深究,六月份的问题,到八月中旬才解决,中间清除病毒后,一直无法启动,没有干掉进程,导致病毒一直存在。
  2. 没有做到企业级容灾备份,幸运的是,后来发现原来搬瓦工是提供了每三天和一周备份的功能(自动的),只需要导入到快照自动还原即可。问题是这次拖延比较久,备份几乎都失效了,唯一一次备份来源于2019-04-06的一次备份,因而以后要养成每周固定快照一次。

  1. 对新功能的探索还有待加强,当时官方解决方案就是升级,然后国内中文文档其实并不多,所以一直没有去升级(当时在四月份想做一次升级,结果提示要做个什么 http—)https 又要搞个证书验证什么的)

 

0X04 亡羊补牢

后记:confluence 升级

网上文章介绍备份迁移倒是很常见,但是像我这种从6.7.2 升级到最新版本6.15.2 还是很少见的,基本上2019年四月份的升级狂潮都是由于confluence 带来的大规模漏洞导致。

我之所以要升级,很重要的原因是,下面这个方法不可以用:

widgetconnector-xxx.jar 3.1.4之前版本会出现这个问题, 从官方下载https://packages.atlassian.com/maven-public/com/atlassian/confluence/extra/widgetconnector/widgetconnector/3.1.4/widgetconnector-3.1.4.jar替换掉已有的相关包即可。

这会导致一个问题,你会发现你附件图片无法显示,如下图所示:

导致附件图片无法正常解析,这玩儿一看就很傻。。。所以升级势在必行,更何况还可以提供手机版本,并且一劳永逸修复漏洞。

网上各种攻略包括官方文档,都参照了类似不同服务器迁移升级的路数,实际上,你只需要完成如下几步动作即可:

  1. 完成数据库文件和程序主文件备份,data 文件我备份足足有60G 如果你用的是VPS 不建议如此操作,因为我买的VPS 一共提供160G 大小磁盘。
  2. 从官网下载最新版本的confluence 的bin版本,因为我是centos 所以只要下载这个可执行文件即可,别的zip 解压不用,因为你要直接运行安装升级的。

Wget confluence 下载网址

然后运行   Chmod+filename 777给予可执行权限

然后   ./ atlassian-confluence-6.15.7-x64.bin

最后蹦出一个提示问你是要安装呢 还是安装呢 还是升级呢?

当然是选择升级啦

然后会问你要不要备份,当然是选择不要啦 占用空间

  1. 升级完成以后要注意,如果你不小心选择备份空间,那么会有大量空间被占用,没有空间是启动不了服务的。

以下给大家截一下 升级完成的confluence

还有手机版本:

C:\Users\ADMINI~1.GTJ\AppData\Local\Temp\WeChat Files\492a6cd21373429edfdf6a7e6cff8b0.pngC:\Users\ADMINI~1.GTJ\AppData\Local\Temp\WeChat Files\7f0a8d148c67939fcec35c56df969e1.png

 

转载请注明:灯塔水母 » confluence 中挖矿病毒后续处理方法

喜欢 (1)or分享 (0)
发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址