Yêu cầu độc hại từ mạng riêng (Kubernetes)

Darko Romanov

07:59, 12/02/2023

Gần đây, tôi có nhiều yêu cầu độc hại đối với nhóm nginx-ingress của mình nhưng tôi không hiểu tại sao chúng có thể đến từ một mạng riêng. Vài ví dụ:

10.114.0.3 - - [11/Oct/2021:09:07:09 +0000] "NHẬN /cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e /%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts HTTP/1.1" 400 158 "-" "-" 94 0,015 [] [] - - - - bea3d4941bd57413fa52e4ff01437067
10.114.0.3 - - [11/Oct/2021:09:07:09 +0000] "\x16\x03\x01\x00\xEE\x01\x00\x00\xEA\x03\x03]\xCDw\x0B\xD4 \x92$z\x17\xC4z\xC1s\xFF\x1E\x5C\xE1\xC0\xCE\xEB$<Z\xAB\xC5\xC9L\xB5\xF09-u yd\xD1y\x0Fw\x9A\x94\xB1 $\xDC\xC6\xD7\xCB\xE2\xFB\x83\xEEQC*\xBA\xC4E\x0F\xF6\xA6\xFC_a\xB9\x15\x00&\xC0/\xC00\xC0+\xC0,\xCC\xA8 \xCC\xA9\xC0\x13\xC0\x09\xC0\x14\xC0" 400 158 "-" "-" 0 0,016 [] [] - - - - 0200c3049215e065bc42749fee66654a
10.114.0.3 - - [11/Oct/2021:09:07:09 +0000] "CONNECT leakix.net:443 HTTP/1.1" 400 158 "-" "-" 0 0,017 [] [] - - - - 43ae42d20fa1fa89fcddddd81801b9a2
10.114.0.3 - - [11/Oct/2021:15:32:02 +0000] "POST /cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh HTTP/1.1" 400 158 "-" "-" 51 0,042 [] [] - - - - 862e8fe41db26a92f8db8dd194184044

Tôi nghĩ rằng một trong những giọt của chúng tôi đã bị tấn công nhưng chúng tôi không có bất kỳ giọt nào có IP 10.114.0.3, ngay cả khi chúng tôi có các IP tương tự:

10.114.0.2
10.114.0.5
10.114.0.7

bất kỳ ý tưởng?

269

0 + 0

kubernetes

nginx-ingress

kupson

12:43, 12/02/2023

Bạn có thấy các địa chỉ IP bên ngoài thực trên các yêu cầu hợp pháp từ Internet không?

Hồi đáp

Điểm:3

Server

p10l

11:50, 12/02/2023

Những gì bạn thấy là một cuộc tấn công bằng cách khai thác trong Apache 2.4.49 (chỉ phiên bản này bị ảnh hưởng). Bạn có thể đọc thêm về nó ở đây CVE-2021-41773.
TLDR: Truyền tải đường dẫn cho phép kẻ tấn công thực thi mã từ xa, nếu tệp không được bảo vệ bởi yêu cầu tất cả bị từ chối cấu hình.

Nếu bạn đang sử dụng bất kỳ máy chủ Apache nào, hãy nâng cấp chúng lên ít nhất là phiên bản 2.4.50.
Thực hiện điều này trên máy chủ Apache của bạn

curl --data "echo;id" 'http://127.0.0.1:80/cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh'

Nếu điều đó trả về bất kỳ điều gì khác ngoài lỗi 403, máy chủ của bạn có thể dễ bị tấn công.

Giả sử bạn đang sử dụng DigitalOcean - hãy kiểm tra hoạt động tài khoản và hoạt động nhóm của bạn để biết các hành động giọt.tạo và droplet.destroy với IP đáng ngờ.

Kiểm tra nhật ký bộ điều khiển và bộ lập lịch kube của bạn để tìm bất kỳ hoạt động đáng ngờ nào.

0 + 0

Darko Romanov

18:51, 12/02/2023

Chính xác! Tôi thấy những hành động đó từ IP 127.0.0.1 với "cơ sở hạ tầng k8saas" của người dùng. Cũng đã khoảng một tuần, chúng tôi nhận được thông báo về loại "Trung bình tải 15 phút đang ở mức cao"

Hồi đáp

Darko Romanov

07:54, 13/02/2023

Vì vậy, từ IP và tên người dùng, tôi muốn nói rằng đó là một số nhật ký bảo trì hệ thống nhưng tôi mong muốn tìm thấy một số tài liệu về "cơ sở hạ tầng k8saas" của người dùng, thay vào đó tôi không thể tìm thấy bất kỳ tài liệu tham khảo nào.

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: Malicious requests from private network (Kubernetes)

TH: คำขอที่เป็นอันตรายจากเครือข่ายส่วนตัว (Kubernetes)

RO: Solicitări rău intenționate din rețeaua privată (Kubernetes)

RU: Вредоносные запросы из частной сети (Kubernetes)

VI: Yêu cầu độc hại từ mạng riêng (Kubernetes)

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.