我们在 vultr 上托管了一个云服务器实例。几周前,该提供商的先前实例已感染 pandora.x86,导致 CPU 负载达到 100%,流量超过 1TB。(我们认为是这个实例,因为运行 100% CPU 的进程名称为:https://blog.cyble.com/2022/03/15/deep-dive-analysis-pandora-ransomware/)
对我们来说,最快的解决方案是销毁服务器并从头开始重建。现在,两周后重建的云实例又出现了同样的问题。在重建服务器时,我们采取了极其谨慎的态度,尽我们所能确保一切安全,我们想不出任何可能导致此问题的安全漏洞。它运行在 22.04 Ubuntu 系统上,大约两周前才安装了补丁。
我们的其他系统没有受到影响,但这项服务是 vultr 上唯一运行的服务。相同的代码库也在其他提供商上运行,没有问题。服务器现已关闭。
为了防止替代系统受到感染,追踪问题的最佳方法是什么?
以下是我们运行的 Python 模块列表:我们运行这些服务:Docker、node exporter、silenium、prometheus、python、来自 Python 的模块(列表添加到问题中)以及我们自己的 Python 代码。
bcrypt==3.2.2
beautifulsoup4~=4.11.1
certifi==2022.6.15
cffi==1.15.0
charset-normalizer==2.0.12
cryptography==37.0.2
extruct==0.13.0
html-text==0.5.2
html5lib==1.1
idna==3.3
isodate==0.6.1
jstyleson==0.0.2
lxml==4.9.0
mf2py==1.1.2
mysql-connector-python==8.0.29
numpy==1.22.4
pandas==1.4.2
paramiko==2.11.0
protobuf==4.21.1
pycparser==2.21
pycrypto==2.6.1
PyNaCl==1.5.0
pyparsing==3.0.9
pyRdfa3==3.5.3
python-dateutil==2.8.2
pytz==2022.1
PyYAML==6.0
rdflib==6.1.1
rdflib-jsonld==0.6.2
requests==2.28.0
six==1.16.0
soupsieve==2.3.2.post1
sshtunnel==0.4.0
urllib3==1.22
w3lib==1.22.0
webencodings==0.5.1
argparse==1.4.0
sentry-sdk==1.7.2
rabbitmq==0.2.0
pika==1.3.0
scikit-learn==1.2.2
selenium==4.5.0
pytrends==4.8.0
scipy==1.9.3
mysql==5.7.24
bs4==0.0.1
yaml==0.2.5