Как pandora.x86 заражает облачные серверы?

У нас есть экземпляр облачного сервера, размещенный по адресу vultr. Предыдущий экземпляр этого провайдера был заражен pandora.x86 несколько недель назад, что вызвало 100% загрузку процессора и более 1 ТБ трафика. (Мы полагаем, что это именно он, из-за названия процесса, выполняющего 100% загрузку ЦП: https://blog.cyble.com/2022/03/15/deep-dive-anaанализ-pandora-ransomware/ )

Самым быстрым решением для нас было уничтожить сервер и восстановить его с нуля. Теперь, две недели спустя, у перестроенного облачного экземпляра возникла та же проблема. При восстановлении сервера мы проявили особую осторожность, чтобы обеспечить все, что нам известно, и мы не можем придумать никаких нарушений безопасности, которые могли бы вызвать это. Он работает в системе Ubuntu 22.04 с исправлениями, установленными всего около 2 недель назад.

Другие наши системы не затронуты, но эта служба — единственная, работающая на vultr. Та же база кода без проблем работает и у других провайдеров. Сейчас сервер отключен.

Как лучше всего отследить проблему, чтобы предотвратить заражение заменяющей системы?

Вот список модулей Python, которые мы запускаем: Мы запускаем эти сервисы: Docker, экспортер узлов, silenium, prometheus, python, модули из Python (список добавлен к вопросу) и наш собственный код на Python.

      bcrypt==3.2.2
beautifulsoup4~=4.11.1
certifi==2022.6.15
cffi==1.15.0
charset-normalizer==2.0.12
cryptography==37.0.2
extruct==0.13.0
html-text==0.5.2
html5lib==1.1
idna==3.3
isodate==0.6.1
jstyleson==0.0.2
lxml==4.9.0
mf2py==1.1.2
mysql-connector-python==8.0.29
numpy==1.22.4
pandas==1.4.2
paramiko==2.11.0
protobuf==4.21.1
pycparser==2.21
pycrypto==2.6.1
PyNaCl==1.5.0
pyparsing==3.0.9
pyRdfa3==3.5.3
python-dateutil==2.8.2
pytz==2022.1
PyYAML==6.0
rdflib==6.1.1
rdflib-jsonld==0.6.2
requests==2.28.0
six==1.16.0
soupsieve==2.3.2.post1
sshtunnel==0.4.0
urllib3==1.22
w3lib==1.22.0
webencodings==0.5.1
argparse==1.4.0
sentry-sdk==1.7.2
rabbitmq==0.2.0
pika==1.3.0
scikit-learn==1.2.2
selenium==4.5.0
pytrends==4.8.0
scipy==1.9.3
mysql==5.7.24
bs4==0.0.1
yaml==0.2.5
Источник

0 ответов

Другие вопросы по тегам