阿里云-云小站(无限量代金券发放中)
【腾讯云】云服务器、云数据库、COS、CDN、短信等热卖云产品特惠抢购

记一次 Kubernetes 集群被入侵,服务器变矿机

167次阅读
没有评论

共计 1341 个字符,预计需要花费 4 分钟才能阅读完成。

近期遇到了一次我们自建 Kubernetes 集群 中某台机器被入侵挖矿,后续也找到了原因,所幸只是用来挖矿…
网络安全是个严肃的问题,它总是在不经意间出现,等你反应过来却已经迟了。希望各位读者看完后也有所启发,去检查及加固自己的集群。

入侵现象

检查到某台机器中出现了异常进程

记一次 Kubernetes 集群被入侵,服务器变矿机

简单来讲,就是我们的机器被用来挖矿了…

问题出现后,我们第一时间关闭了 docker,其实应该隔离下环境, 把挖矿程序 dump 下来,以便后续分析。

具体原因排查

iptables 为空

出现了异常进程,肯定是被入侵了,我首先看的是 iptables。果不其然,机器上的 iptables 规则是空的,意味着这台机器在裸奔。

kubelet 裸奔

内部同事提出了有可能是 kubelet 被入侵的问题,检查过其他组件后,开始检查 kubelet 组件

最后检查到 kubelet 日志中有异常:

记一次 Kubernetes 集群被入侵,服务器变矿机

kubelet 设置不当

确认入侵问题,kubelet 参数设置错误,允许直接访问 kubelet 的 api

记一次 Kubernetes 集群被入侵,服务器变矿机

发现是 kubelet 的启动项中,该位置被注释掉:

记一次 Kubernetes 集群被入侵,服务器变矿机

然后文件中禁止匿名访问的配置没有读取

记一次 Kubernetes 集群被入侵,服务器变矿机

该项配置是由于我操作不当注释掉的

由于是新增加的机器,当晚就发现了问题,整个集群是我在管理的,我跟随着一起排查,所以很快就找到了原因,当晚我就把其他机器中的配置项重新扫了一遍,假如它们的防火墙失效了,也会有类似的入侵情况发生,还好此次事件控制在 1 台机器中。

改进方案

其实该问题理论上讲是可以避免的,是因为出现了多层漏洞才会被有心人扫到,我从外到内整理了一下可能改进的策略。

  1. 机器防火墙设置,机器防火墙是整个系统最外层,即使机器的防火墙同步失败,也不能默认开放所有端口,而是应该全部关闭,等待管理员连接到 tty 终端上检查。
  2. 使用机器时,假如机器不是暴露给外部使用的,公网 IP 可有可无的时候,尽量不要有公网 IP,我们的机器才上线 1 天就被扫描到了漏洞,可想而知,公网上是多么的危险
  3. 使用 kubelet 以及其他系统服务时,端口监听方面是不是该有所考量?能不能不监听 0.0.0.0,而是只监听本机的内网 IP。
  4. 使用 kubelet 以及其他程序,设计或是搭建系统时, 对于匿名访问时的权限控制, 我们需要考虑到假如端口匿名会出现什么问题,是否应该允许匿名访问,如果不允许匿名访问,那么怎么做一套鉴权系统?
  5. 系统管理员操作时,是否有一个比较规范化的流程,是不是该只使用脚本操作线上环境? 手动操作线上环境带来的问题并不好排查和定位。
    我这里不是抛出疑问,只是想告诉大家,考虑系统设计时,有必要考虑下安全性。

总结

发生了入侵事件后,同事开玩笑说,还好没其他经济损失,要不我可能要回家了。作为集群的管理员,只有自己最清楚问题的严重程度。从本质上来讲,问题已经相当严重了。入侵者相当于拥有了机器上 docker 的完整控制权限。如果读者有读过我关于 docker 系列的内容,就对权限上了解清楚了。
因为此次事件的发生,不只是我,还有 SA 的同学基本都被 diao 了一遍,心里还是有点难受的,希望大家能对网络安全问题有所重视,从加固防火墙开始,避免监听不必要的端口,这两项至少是最容易实现的。

文章转载:高效运维
(版权归原作者所有,侵删)

正文完
星哥玩云-微信公众号
post-qrcode
 0
星锅
版权声明:本站原创文章,由 星锅 于2022-12-03发表,共计1341字。
转载说明:除特殊说明外本站文章皆由CC-4.0协议发布,转载请注明出处。
【腾讯云】推广者专属福利,新客户无门槛领取总价值高达2860元代金券,每种代金券限量500张,先到先得。
阿里云-最新活动爆款每日限量供应
评论(没有评论)
验证码
【腾讯云】云服务器、云数据库、COS、CDN、短信等云产品特惠热卖中