gitlab 被攻击了！求大佬进来分析一下

你也把命令贴出来啊

可能团队里有人在做渗透测试？

你指着大佬一个个字母敲来复现？哈哈哈哈

@misaka19000
@InternetExplorer
@hly9469

我以为这个命令的具体，对分析没什么意义，我也贴一下吧：
gitlab-rails runner "user = User.create(username: 'dexbcx',password:'12345678',email:'dexbcx@gmail.com',name:'dexbcx',confirmed_at: '2021-08-11 16:46:53'); user.admin=true; user.save;"

1.不要开放外网
2.勤升级，他们团队一周一个补丁不是闹着玩的

@Rwing gitlab 的安全性这么感人的吗？安排升级操作了，但想知道怎么死也没办法？

既然没人用流水线，就把 runner 服务关掉吧，没那么多事

@jay4497 怎样关闭 runner 服务？目前只是各个项目里面关闭了流水线功能。

@jay4497 但我对这个命令是不是流水线作为入口，进行注入并执行的，也不太确定，找不到任何的蛛丝马迹。

和关不关 runner 无关

你这版本这么低

看一下 gitlab security release 就有一些 code injection

@raysonlu 安全小白，也不太懂，但以前折腾过这个 runner，需要配置啥的才能用上流水线功能，具体的你看看文档吧 docs.gitlab.com/runner/

@polaa 这个版本还低？ 13 系列的最高版本是哪个？

最新一个 release

GitLab Security Release: 14.1.2, 14.0.7, and 13.12.9 for GitLab Community Edition (CE)

@polaa 想知道怎样获取这些信息，以及如何更新小版本？网上看到更新的方法，都是备份，然后重装？

官网都有吧

看了下应该大概能给你复原出来攻击场景，首先你的 gitlab 应该是开放了注册或者有人有弱口令。之后攻击者创建或是修改了某个仓库，并在其中加入了.gitlab-ci.yml 。然后触发了 ci 操作。因为你 gitlab 和 gitlab runner 都在一个机器上部署。所以 runmer 是可以访问到本机的 pgsql 的。攻击者在 runner 的 ci 脚本里写了那句 sh -c xxxx 。在 4 楼的解码后也可以看到攻击者创建了一个名为 dexbcx 的管理员用户。后续的攻击动作因为没提供更多信息就不得而知了。
也有可能整个事情是个误报。你只是想创建一个名为 dexbcx 的管理员用户。结果 gitlab 对创建用户的底层实现是通过 sh -c 的形式运行命令(这条感觉不太可能)

个人觉得这是一个安全配置问题。并不算是有漏洞。安全缺陷和漏洞是两码事。不过还是建议你们内部自查一下弱口令这些。还有相应的权限管控。

@yw9381 没有开放注册。如果必须要通过上传或修改一个.gitlab-ci.yml 文件的话，是不是我能在每个项目中找回这个记录？

@polaa 在官网逛了很久，确实没找到，麻烦大佬贴一下路径，或者链接？

@yw9381 补充一下，我逐个项目看，找不到.gitlab-ci.yml 文件，以及在 /var/opt/gitlab/git-data/repositories 路径中，find ./ -name "*gitlab*"，找不到。