Вредоносные запросы из частной сети (Kubernetes)

Darko Romanov

12.02.2023, 07:59

В последнее время у меня много вредоносных запросов к моему модулю nginx-ingress, но я не понимаю, как они могут быть из частной сети. Некоторые примеры:

10.114.0.3 - - [11.10.2021:09:07:09 +0000] "GET /cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e /%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts HTTP/1.1" 400 158 "-" "-" 94 0,015 [] [] - - - - bea3d4941bd57413fa52e4ff01437067
10.114.0.3 - - [11.10.2021:09:07:09 +0000] "\x16\x03\x01\x00\xEE\x01\x00\x00\xEA\x03\x03]\xCDw\x0B\xD4 \x92$z\x17\xC4z\xC1s\xFF\x1E\x5C\xE1\xC0\xCE\xEB$<Z\xAB\xC5\xC9L\xB5\xF09-u yd\xD1y\x0Fw\x9A\x94\xB1 $\xDC\xC6\xD7\xCB\xE2\xFB\x83\xEEQC*\xBA\xC4E\x0F\xF6\xA6\xFC_a\xB9\x15\x00&\xC0/\xC00\xC0+\xC0,\xCC\xA8 \xCC\xA9\xC0\x13\xC0\x09\xC0\x14\xC0" 400 158 "-" "-" 0 0,016 [] [] - - - - 0200c3049215e065bc42749fee66654a
10.114.0.3 - - [11/окт/2021:09:07:09 +0000] "ПОДКЛЮЧИТЬ Leakix.net:443 HTTP/1.1" 400 158 "-" "-" 0 0,017 [] [] - - - - 43ae42d20fa1fa89fcddddd81801b9a2
10.114.0.3 - - [11.10.2021:15:32:02 +0000] "POST /cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh HTTP/1.1" 400 158 "-" "-" 51 0,042 [] [] - - - - 862e8fe41db26a92f8db8dd194184044

Я бы подумал, что одна из наших капель взломана, но у нас нет ни одной капли с IP-адресом 10.114.0.3, даже если у нас есть похожие IP-адреса:

10.114.0.2
10.114.0.5
10.114.0.7

Есть идеи?

269

0 + 0

кубернет

nginx-вход

kupson

12.02.2023, 12:43

Видите ли вы настоящие внешние IP-адреса в легитимных запросах из Интернета?

Ответить

Рейтинг:3

Server

p10l

12.02.2023, 11:50

То, что вы видите, — это атака с использованием эксплойта в Apache 2.4.49 (затронута только эта версия). Вы можете прочитать больше об этом здесь CVE-2021-41773.
TLDR: Обход пути позволяет злоумышленнику удаленно выполнять код, если файлы не защищены требовать все отказано конфигурация.

Если вы используете какие-либо серверы Apache, обновите их как минимум до версии 2.4.50.
Выполните это на своем сервере Apache

curl --data "echo;id" 'http://127.0.0.1:80/cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh'

Если это возвращает что-либо, кроме ошибки 403, ваш сервер может быть уязвим.

Предполагая, что вы используете DigitalOcean, проверьте активность своей учетной записи и активность вашей команды на наличие действий. капелька.создать и капля.уничтожить с подозрительным ИП.

Проверьте журналы планировщика и контроллера kube на наличие подозрительной активности.

0 + 0

Darko Romanov

12.02.2023, 18:51

Правильный! Я вижу эти действия с IP 127.0.0.1 с пользователем "инфраструктура k8saas". Также около недели мы получаем оповещение типа «Средняя загрузка за 15 минут достигает максимума».

Ответить

Darko Romanov

13.02.2023, 07:54

Итак, по IP и имени пользователя я бы сказал, что это какой-то журнал обслуживания системы, но я ожидаю найти некоторую документацию о пользовательской «инфраструктуре k8saas», вместо этого я не могу найти никакой ссылки.

Ответить

Admin

Этот вопрос на других языках:

EN: Malicious requests from private network (Kubernetes)

TH: คำขอที่เป็นอันตรายจากเครือข่ายส่วนตัว (Kubernetes)

RO: Solicitări rău intenționate din rețeaua privată (Kubernetes)

RU: Вредоносные запросы из частной сети (Kubernetes)

VI: Yêu cầu độc hại từ mạng riêng (Kubernetes)

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.