Solicitări rău intenționate din rețeaua privată (Kubernetes)

Darko Romanov

12.02.2023, 07:59

Recent, am multe solicitări rău intenționate către podul meu nginx-ingress, dar nu înțeleg cum este posibil ca acestea să provină dintr-o rețea privată. Cateva exemple:

10.114.0.3 - - [11/Oct/2021:09:07:09 +0000] „GET /cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e /%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts HTTP/1.1" 400 158 "-" "-" 94 0,015 [] [] - - - - bea3d4941bd57413fa52e4ff014377
10.114.0.3 - - [11/Oct/2021:09:07:09 +0000] „\x16\x03\x01\x00\xEE\x01\x00\x00\xEA\x03\x03]\xCDw\x0B\xD4 \x92$z\x17\xC4z\xC1s\xFF\x1E\x5C\xE1\xC0\xCE\xEB$<Z\xAB\xC5\xC9L\xB5\xF09-u yd\xD1y\x0Fw\x9A\x94\xB1 $\xDC\xC6\xD7\xCB\xE2\xFB\x83\xEEQC*\xBA\xC4E\x0F\xF6\xA6\xFC_a\xB9\x15\x00&\xC0/\xC00\xC0+\xC0,\xCC\xA8 \xCC\xA9\xC0\x13\xC0\x09\xC0\x14\xC0" 400 158 "-" "-" 0 0,016 [] [] - - - - 0200c3049215e065bc42749fee66654a
10.114.0.3 - - [11/Oct/2021:09:07:09 +0000] „CONECTAȚI leakix.net:443 HTTP/1.1” 400 158 „-” „-” 0 0,017 [] [] - - - - 43aeddd12890cd142892f00
10.114.0.3 - - [11/Oct/2021:15:32:02 +0000] „POST /cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh HTTP/1.1” 400 158 "-" "-" 51 0,042 [] [] - - - - 862e8fe41db26a92f8db8dd194184044

Aș crede că una dintre picăturile noastre este piratată, dar nu avem nicio picătură cu IP 10.114.0.3, chiar dacă avem IP-uri similare:

10.114.0.2
10.114.0.5
10.114.0.7

vreo idee?

269

0 + 0

kubernetes

nginx-ingress

kupson

12.02.2023, 12:43

Vedeți adrese IP externe reale în cererile legitime de pe Internet?

Răspunde

Puncte:3

Server

p10l

12.02.2023, 11:50

Ceea ce vedeți este un atac folosind un exploit în Apache 2.4.49 (doar această versiune este afectată). Puteți citi mai multe despre el aici CVE-2021-41773.
TLDR: Traversarea căii permite atacatorului să execute cod de la distanță, dacă fișierele nu sunt protejate de cere toate refuzate configurație.

Dacă utilizați servere Apache, actualizați-le la cel puțin versiunea 2.4.50.
Executați acest lucru pe serverul dvs. Apache

curl --data „echo;id” „http://127.0.0.1:80/cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh”

Dacă aceasta returnează altceva decât o eroare 403, serverul dvs. poate fi vulnerabil.

Presupunând că utilizați DigitalOcean - verificați activitatea contului dvs. și activitatea echipei dvs. pentru acțiuni picătură.crea și picătură.distruge cu IP suspectă.

Verificați jurnalele de programare și controler kube pentru orice activitate suspectă.

0 + 0

Darko Romanov

12.02.2023, 18:51

Corect! Văd acele acțiuni de la IP 127.0.0.1 cu utilizatorul „k8saas infrastructure”. De asemenea, este de aproximativ o săptămână când primim alertă de tipul „Media de încărcare de 15 minute este în mare măsură”

Răspunde

Darko Romanov

13.02.2023, 07:54

Deci, de la IP și numele de utilizator, aș spune că este un jurnal de întreținere a sistemului, dar mă aștept să găsesc o documentație despre „infrastructura k8saas” de utilizator, în schimb nu găsesc nicio referință.

Răspunde

SEF 777

întrebarea această in alte limbi:

EN: Malicious requests from private network (Kubernetes)

TH: คำขอที่เป็นอันตรายจากเครือข่ายส่วนตัว (Kubernetes)

RO: Solicitări rău intenționate din rețeaua privată (Kubernetes)

RU: Вредоносные запросы из частной сети (Kubernetes)

VI: Yêu cầu độc hại từ mạng riêng (Kubernetes)

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.