Skip to main content

Pregunta 25 | Investigación de Procesos Maliciosos

Usar contexto: kubectl config use-context workload-stage

Un resultado de escaneo de seguridad muestra que hay un proceso minero desconocido ejecutándose en uno de los Nodos en el cluster3. El informe indica que el proceso está escuchando en el puerto 6666. Finaliza el proceso y elimina el binario.

Respuesta:

Echamos un vistazo a los Nodos existentes:

➜ k get node
NAME                     STATUS   ROLES           AGE    VERSION
cluster3-controlplane1   Ready    control-plane   109m   v1.28.5
cluster3-node1           Ready    <none>          105m   v1.28.5

Primero verificamos el master:

ssh cluster3-controlplane1

➜ root@cluster3-controlplane1:~# netstat -plnt | grep 6666

➜ root@cluster3-controlplane1:~#

No parece haber ningún proceso escuchando en este puerto. Así que verificamos el worker:

ssh cluster3-node1

➜ root@cluster3-node1:~# netstat -plnt | grep 6666
tcp6       0      0 :::6666                 :::*        LISTEN      9591/system-atm

# ¡Ahí está! También podríamos usar lsof:

➜ root@cluster3-node1:~# lsof -i :6666
COMMAND    PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
system-at 9591 root    3u  IPv6  47760      0t0  TCP *:6666 (LISTEN)

# Antes de finalizar el proceso podemos verificar el directorio mágico /proc para la ruta completa del proceso:

➜ root@cluster3-node1:~# ls -lh /proc/9591/exe
lrwxrwxrwx 1 root root 0 Sep 26 16:10 /proc/9591/exe -> /bin/system-atm

# Así que lo finalizamos:

➜ root@cluster3-node1:~# kill -9 9591

➜ root@cluster3-node1:~# rm /bin/system-atm

Hecho.