最近,我的 nginx-ingress pod 收到很多恶意请求,但我不明白它们怎么可能来自私有网络。以下是一些示例:
10.114.0.3 - - [11/Oct/2021:09:07:09 +0000] "GET /cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts HTTP/1.1" 400 158 "-" "-" 94 0.015 [] [] - - - - bea3d4941bd57413fa52e4ff01437067
10.114.0.3 - - [11/Oct/2021:09:07:09 +0000] "\x16\x03\x01\x00\xEE\x01\x00\x00\xEA\x03\x03]\xCDw\x0B\xD4\x92$z\x17\xC4z\xC1s\xFF\x1E\x5C\xE1\xC0\xCE\xEB$<Z\xAB\xC5\xC9L\xB5\xF09-u yd\xD1y\x0Fw\x9A\x94\xB1$\xDC\xC6\xD7\xCB\xE2\xFB\x83\xEEQC*\xBA\xC4E\x0F\xF6\xA6\xFC_a\xB9\x15\x00&\xC0/\xC00\xC0+\xC0,\xCC\xA8\xCC\xA9\xC0\x13\xC0\x09\xC0\x14\xC0" 400 158 "-" "-" 0 0.016 [] [] - - - - 0200c3049215e065bc42749fee66654a
10.114.0.3 - - [11/Oct/2021:09:07:09 +0000] "CONNECT leakix.net:443 HTTP/1.1" 400 158 "-" "-" 0 0.017 [] [] - - - - 43ae42d20fa1fa89fcddddd81801b9a2
10.114.0.3 - - [11/Oct/2021:15:32:02 +0000] "POST /cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh HTTP/1.1" 400 158 "-" "-" 51 0.042 [] [] - - - - 862e8fe41db26a92f8db8dd194184044
我认为我们的一个 droplet 被黑客入侵了,但是我们没有任何 IP 为 10.114.0.3 的 droplet,即使我们有相似的 IP:
- 10.114.0.2
- 10.114.0.5
- 10.114.0.7
任何想法?
答案1
您看到的是利用 Apache 2.4.49 中的漏洞进行的攻击(仅此版本受到影响)。您可以在此处阅读更多相关信息CVE-2021-41773。
总结:如果文件未受配置保护,路径遍历允许攻击者远程执行代码require all denied。
如果你正在使用任何 Apache 服务器,请将其升级到至少 2.4.50 版本。
在你的 Apache 服务器上执行此操作
curl --data "echo;id" 'http://127.0.0.1:80/cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh'
如果返回 403 错误以外的任何内容,则您的服务器可能存在漏洞。
假设您正在使用 DigitalOcean - 检查您的帐户活动和团队活动,以了解是否存在操作droplet.create和droplet.destroy可疑 IP。
检查您的 kube 调度程序和控制器日志是否有任何可疑活动。