很可惜 T 。T 您现在还不是作者身份,不能自主发稿哦~
如有投稿需求,请把文章发送到邮箱tougao@appcpx.com,一经录用会有专人和您联系
咨询如何成为春羽作者请联系:鸟哥笔记小羽毛(ngbjxym)
编辑:LRS
GitLab 又被分布式拒绝服务(DDoS)攻击了!
负责谷歌DDoS防御的云安全可靠性工程师Damian Menscher最近披露,有攻击者正在利用 GitLab 托管服务器上的安全漏洞来构建僵尸网络,并发起规模惊人的分布式拒绝服务攻击(DDoS)。其中一些攻击的峰值流量,甚至超过了1 Tbps 。
本次攻击利用的漏洞编号为CVE-2021-22205,GitLab曾在2021年4月修复该漏洞。
此次攻击由 William Bowling发现,并通过Bug Bount报告给GitLab,漏洞主要影响的组件是Exiftool,可以用于从上载到Web服务器的图像中删除元数据的库。
GitLab 在他们私有版本GitLab Community Edition(CE)和Enterprise Edition(EE)中使用Exiftool,也就是GitLab服务的开源和商业版本,公司可以在自己的服务器上安装,用于在安全环境中处理私有代码,而不必使用GitLab的云服务。
在通过Hackerone提交的一份报告中,Bowling说他发现了一种滥用Exiftool处理用于扫描文档的DJVU文件格式上传的方法,以获得对整个GitLab Web服务器的控制权。
据意大利安全公司HN Security称,利用这一漏洞的攻击始于今年6月,该公司上周首次报告了漏洞的使用迹象。
当时安全研究员Piergiovanni Cipolloni表示,在发现有随机命名的用户被添加到受感染的GitLab服务器后,他们随即对此展开了调查。这些用户很可能是由攻击者一手创建,旨在对受害系统实施远程控制。
尽管HN Security尚不清楚这些攻击的目的,但Google工程师Damian Menscher已于昨日表示,被黑服务器属于某个巨型僵尸网络的一部分。
该网络包含成千上万个受感染的GitLab实例,且正被用于发起大规模的DDoS攻击。遗憾的是,尽管GitLab已于2021年4月完成了修补,仍有大约30000个GitLab服务器尚未打上补丁。
这说明了什么?不要禁用安全更新!当然了,Windows更新的开启和关闭是一个玄学问题。
值得注意的是,GitLab问题核心的Exiftool漏洞(CVE-2021-22204)也可能影响部署该工具的其他类型的Web应用程序,,其他类型的Web应用程序也可能需要修补。
防止攻击的简单方法是阻止DjVu文件在服务器级别上载,如果公司不需要处理此文件类型的话。
DDoS(分布式拒绝服务)实际上是一种常见的网络攻击,亦称洪水攻击,其目的在于使目标电脑的网络或系统资源耗尽,使服务暂时中断或停止,导致其正常用户无法访问。当黑客使用网络上两个或以上被攻陷的电脑作为「僵尸」向特定的目标发动「拒绝服务」式攻击时,称为分布式拒绝服务攻击。
就是说服务器的流量都被用于服务僵尸网络了,当正常用户访问时,已经没有多余的能力来应对了,对于用户来说网站瘫痪了。
首先,DDoS攻击会拒绝访问你的网站或服务。攻击者滥用受感染或配置错误的机器(服务器,路由器甚至PC机)的网络,以向单个系统生成大量虚假流量,从而使其暂时不可用。
并且大多数托管和云提供商会向其客户收取额外的带宽或计算能力。如果启用了自动扩展,则在遭受DDoS攻击时,入口流量激增和基础架构可能会开始快速扩展,本月Internet流量和计算资源费用不断增加,导致更高的运营成本。
由于数据库和系统不堪重负,未保存的工作可能不会被存储或缓存。对于处理关键任务工作负载或运行某些数据一致性至关重要的在线事务处理应用程序的企业而言,这可能是一个至关重要的问题。
服务器日志将与数千个攻击日志混在一起,因此将很难进行过滤和检查一切是否正常。另外,你可能设置了if-then规则,并使系统自反应。在这种情况下,混杂的日志可能会对系统造成实际损害,从而给你造成很大的影响。
DDoS还可以用作服务错乱这种攻击技术。当管理人员忙于过滤流量时,可能会同时执行小的破坏性攻击。这种相似的攻击方式曾经对号称世界上最安全的比特币钱包Electrum进行过。
当时来自超过15万个受感染主机的巨大DDoS攻击被发往Electrum网络,中断了所有用户的交易。同时,网络钓鱼攻击迫使恶意消息弹出给客户端,要求他们更新软件。然后,人们错误地安装了恶意软件,该恶意软件立即将所有的账户余额都转向了攻击者的钱包。
2017年时,GitLab就发生过不小心删除了数据库导致网站下线的事故。
Gitlab遭受了恶意邮件发送者的DDoS攻击,导致数据库写入锁定,网站出现不稳定和宕机,在阻止了恶意邮件发送者之后,运维人员开始修复数据库不同步的问题,在修复过程中,错误的在生产环境上执行了数据库目录删除命令,导致300GB数据被删除,Gitlab被迫下线。
在试图进行数据恢复时,发现只有 db1.staging的数据库可以用于恢复,其它五种备份机制均无效。db1.staging是6小时前的数据,而且传输速率有限,导致恢复进程缓慢。
Gitlab第一时间在Twitter上对事件的处置状态进行实时更新,后来索性在 Youtube上开了频道直播恢复进程,网站恢复了正常后,gitlab还是丢掉了差不多6个小时的数据。
2018年时,GitHub也曾遭受过DDoS攻击,峰值流量甚至达到了1.3 Tbps,在当时堪称史上最严重的DDoS攻击。GitHub受到攻击后,服务器断断续续,无法访问。攻击发生10分钟后,GitHub向CDN服务商Akamai请求协助,访问GitHub的流量由后者接管。
Akamai用多种方式防御这次攻击。除了通用DDoS防御基础架构之外,该公司最近还针对源自memcached服务器的DDoS攻击实施了特定的缓解措施。
网络监测和舆情分析公司ThousandEyes表示「这次防御做的很出色,一切都在15-20分钟内完成。如果看一下统计数据,就会发现,单独的DDoS攻击检测通常都要一个小时,而这次20分钟内搞定」。
Akamai怀疑攻击者仅仅是因为GitHub很高端,知名度很高,所以锁定了GitHub作为目标。而防御措施太快,持续时间相当短,可能还没来的及要赎金,一切就结束了。
目前防御手段的发展也很快,在2020年时,AWS报告说2月检测到2.3Tb的DDos攻击,持续了三天,意图瘫痪AWS,但没有成功。
规模来看虽然达到了2018年GitHub的两倍,但防御起来显然比之前更轻松。
但IBM就相对比较惨了,2020年6月11日,IBM声明称,云业务宕机事件是由第三方网络提供商非预期地调整IBM对外网络路由,导致其全球流量一度严重受阻。声明中还提到,整个事件持续时间是从北京时间6月10日早上5:55到早上9:30。两个小时后该公司再次发推表示,所有的IBM云服务已重启。
IBM宣布了这次事故归咎于「外部网络提供商用错误的路由瘫痪了IBM云网络」。然而,Techzim从一个技术来源处收到了一份信息,该技术来源自始至终都在监视停机情况,并显示了IBM云网络本身发生的问题。
所以说,如果一家云公司一年没有几次大事故,那它就不能称之为云巨头。
参考资料:
https://therecord.media/gitlab-servers-are-being-exploited-in-ddos-attacks-in-excess-of-1-tbps/
-END-
本文为作者独立观点,不代表鸟哥笔记立场,未经允许不得转载。
《鸟哥笔记版权及免责申明》 如对文章、图片、字体等版权有疑问,请点击 反馈举报
Powered by QINGMOB PTE. LTD. © 2010-2022 上海青墨信息科技有限公司 沪ICP备2021034055号-6
我们致力于提供一个高质量内容的交流平台。为落实国家互联网信息办公室“依法管网、依法办网、依法上网”的要求,为完善跟帖评论自律管理,为了保护用户创造的内容、维护开放、真实、专业的平台氛围,我们团队将依据本公约中的条款对注册用户和发布在本平台的内容进行管理。平台鼓励用户创作、发布优质内容,同时也将采取必要措施管理违法、侵权或有其他不良影响的网络信息。
一、根据《网络信息内容生态治理规定》《中华人民共和国未成年人保护法》等法律法规,对以下违法、不良信息或存在危害的行为进行处理。
1. 违反法律法规的信息,主要表现为:
1)反对宪法所确定的基本原则;
2)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一,损害国家荣誉和利益;
3)侮辱、滥用英烈形象,歪曲、丑化、亵渎、否定英雄烈士事迹和精神,以侮辱、诽谤或者其他方式侵害英雄烈士的姓名、肖像、名誉、荣誉;
4)宣扬恐怖主义、极端主义或者煽动实施恐怖活动、极端主义活动;
5)煽动民族仇恨、民族歧视,破坏民族团结;
6)破坏国家宗教政策,宣扬邪教和封建迷信;
7)散布谣言,扰乱社会秩序,破坏社会稳定;
8)宣扬淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪;
9)煽动非法集会、结社、游行、示威、聚众扰乱社会秩序;
10)侮辱或者诽谤他人,侵害他人名誉、隐私和其他合法权益;
11)通过网络以文字、图片、音视频等形式,对未成年人实施侮辱、诽谤、威胁或者恶意损害未成年人形象进行网络欺凌的;
12)危害未成年人身心健康的;
13)含有法律、行政法规禁止的其他内容;
2. 不友善:不尊重用户及其所贡献内容的信息或行为。主要表现为:
1)轻蔑:贬低、轻视他人及其劳动成果;
2)诽谤:捏造、散布虚假事实,损害他人名誉;
3)嘲讽:以比喻、夸张、侮辱性的手法对他人或其行为进行揭露或描述,以此来激怒他人;
4)挑衅:以不友好的方式激怒他人,意图使对方对自己的言论作出回应,蓄意制造事端;
5)羞辱:贬低他人的能力、行为、生理或身份特征,让对方难堪;
6)谩骂:以不文明的语言对他人进行负面评价;
7)歧视:煽动人群歧视、地域歧视等,针对他人的民族、种族、宗教、性取向、性别、年龄、地域、生理特征等身份或者归类的攻击;
8)威胁:许诺以不良的后果来迫使他人服从自己的意志;
3. 发布垃圾广告信息:以推广曝光为目的,发布影响用户体验、扰乱本网站秩序的内容,或进行相关行为。主要表现为:
1)多次发布包含售卖产品、提供服务、宣传推广内容的垃圾广告。包括但不限于以下几种形式:
2)单个帐号多次发布包含垃圾广告的内容;
3)多个广告帐号互相配合发布、传播包含垃圾广告的内容;
4)多次发布包含欺骗性外链的内容,如未注明的淘宝客链接、跳转网站等,诱骗用户点击链接
5)发布大量包含推广链接、产品、品牌等内容获取搜索引擎中的不正当曝光;
6)购买或出售帐号之间虚假地互动,发布干扰网站秩序的推广内容及相关交易。
7)发布包含欺骗性的恶意营销内容,如通过伪造经历、冒充他人等方式进行恶意营销;
8)使用特殊符号、图片等方式规避垃圾广告内容审核的广告内容。
4. 色情低俗信息,主要表现为:
1)包含自己或他人性经验的细节描述或露骨的感受描述;
2)涉及色情段子、两性笑话的低俗内容;
3)配图、头图中包含庸俗或挑逗性图片的内容;
4)带有性暗示、性挑逗等易使人产生性联想;
5)展现血腥、惊悚、残忍等致人身心不适;
6)炒作绯闻、丑闻、劣迹等;
7)宣扬低俗、庸俗、媚俗内容。
5. 不实信息,主要表现为:
1)可能存在事实性错误或者造谣等内容;
2)存在事实夸大、伪造虚假经历等误导他人的内容;
3)伪造身份、冒充他人,通过头像、用户名等个人信息暗示自己具有特定身份,或与特定机构或个人存在关联。
6. 传播封建迷信,主要表现为:
1)找人算命、测字、占卜、解梦、化解厄运、使用迷信方式治病;
2)求推荐算命看相大师;
3)针对具体风水等问题进行求助或咨询;
4)问自己或他人的八字、六爻、星盘、手相、面相、五行缺失,包括通过占卜方法问婚姻、前程、运势,东西宠物丢了能不能找回、取名改名等;
7. 文章标题党,主要表现为:
1)以各种夸张、猎奇、不合常理的表现手法等行为来诱导用户;
2)内容与标题之间存在严重不实或者原意扭曲;
3)使用夸张标题,内容与标题严重不符的。
8.「饭圈」乱象行为,主要表现为:
1)诱导未成年人应援集资、高额消费、投票打榜
2)粉丝互撕谩骂、拉踩引战、造谣攻击、人肉搜索、侵犯隐私
3)鼓动「饭圈」粉丝攀比炫富、奢靡享乐等行为
4)以号召粉丝、雇用网络水军、「养号」形式刷量控评等行为
5)通过「蹭热点」、制造话题等形式干扰舆论,影响传播秩序
9. 其他危害行为或内容,主要表现为:
1)可能引发未成年人模仿不安全行为和违反社会公德行为、诱导未成年人不良嗜好影响未成年人身心健康的;
2)不当评述自然灾害、重大事故等灾难的;
3)美化、粉饰侵略战争行为的;
4)法律、行政法规禁止,或可能对网络生态造成不良影响的其他内容。
二、违规处罚
本网站通过主动发现和接受用户举报两种方式收集违规行为信息。所有有意的降低内容质量、伤害平台氛围及欺凌未成年人或危害未成年人身心健康的行为都是不能容忍的。
当一个用户发布违规内容时,本网站将依据相关用户违规情节严重程度,对帐号进行禁言 1 天、7 天、15 天直至永久禁言或封停账号的处罚。当涉及欺凌未成年人、危害未成年人身心健康、通过作弊手段注册、使用帐号,或者滥用多个帐号发布违规内容时,本网站将加重处罚。
三、申诉
随着平台管理经验的不断丰富,本网站出于维护本网站氛围和秩序的目的,将不断完善本公约。
如果本网站用户对本网站基于本公约规定做出的处理有异议,可以通过「建议反馈」功能向本网站进行反馈。
(规则的最终解释权归属本网站所有)