腾讯云木马文件通知

• 10月29日，腾讯云就发送邮件警报【木马文件通知】，如下：

检测到存在未处理的木马文件：/tmp/woritf，您的服务器疑似被黑客入侵，可能造成严重损失

当时只是简单处理了下，将/tmp/woritf文件删除，之后就没有再管了。

• 10月31日，又有邮件报警【木马文件通知】，竟然又校测到木马文件，如下：

检测到存在未处理的木马文件：/var/tmp/c3pool/xmrig，您的服务器疑似被黑客入侵，可能造成严重损失

烦了，就进到腾讯云主机里边查看了具体的通知，这才发现是因为Gitlab远程命令执行漏洞导致的，具体如下：

在GitLab CE / EE中发现了一个问题，影响从11.9-13.8，13.9-13.9.6，13.10-13.10.3之间的版本。GitLab未正确验证传递到文件解析器的图像文件，该文件导致远程代码执行。

CVE-2021-22205 Gitlab ExifTool远程命令执行漏洞在野利用事件及其漏洞利用方式，由于Gitlab某些端点路径无需授权，攻击者可在无需认证的情况下利用图片上传功能执行任意代码。

影响版本

11.9 <= GitLab（CE/EE）< 13.8.8
13.9 <= GitLab（CE/EE）< 13.9.6
13.10 <= GitLab（CE/EE）< 13.10.3

安全版本

GitLab（CE/EE） 13.8.8
GitLab（CE/EE） 13.9.6
GitLab（CE/EE） 13.10.3

威胁更新：腾讯安全捕获BillGates僵尸网络利用Gitlab ExifTool RCE漏洞大量攻击云主机

Gitlab版本升级

版本号查询

head -1 /opt/gitlab/version-manifest.txt
12.3.4

升级注意事项

gitlab升级必须严格按照先升级到目前大版本号的最新版本，然后升级到下一个大版本号的初始几个版本，继续按照此要求进行升级。

要将gitlab升级为最新版本gitlab-ce-14.4.1，升级版本顺序如下：
12. -> 13. -> 13. -> 13. -> 14.0.0 -> 14.0.5 -> 14.4.1
要升级版本包：

 gitlab-ce-12.10.6-ce.0.el7.x86_64.rpm
 gitlab-ce-13.0.0-ce.0.el7.x86_64.rpm
 gitlab-ce-13.12.12-ce.0.el7.x86_64.rpm
 gitlab-ce-14.0.0-ce.0.el7.x86_64.rpm
 gitlab-ce-14.0.5-ce.0.el7.x86_64.rpm
 gitlab-ce-14.4.1-ce.0.el7.x86_64.rpm

rpm包下载地址

官方网站：/gitlab/gitlab-ce?page=1
国内镜像：/gitlab-ce/yum/el7

执行步骤

手动备份
gitlab-rake gitlab:backup:create

停止 gitlab 各项服务
gitlab-ctl stop unicorn
gitlab-ctl stop sidekiq
gitlab-ctl stop nginx

逐个版本升级
rpm -Uvh  gitlab-ce-12.10.6-ce.0.el7.x86_64.rpm
rpm -Uvh  gitlab-ce-13.0.0-ce.0.el7.x86_64.rpm
rpm -Uvh  gitlab-ce-13.12.12-ce.0.el7.x86_64.rpm
rpm -Uvh  gitlab-ce-14.0.0-ce.0.el7.x86_64.rpm
rpm -Uvh  gitlab-ce-14.0.5-ce.0.el7.x86_64.rpm
rpm -Uvh  gitlab-ce-14.4.1-ce.0.el7.x86_64.rpm

刷新配置（如果按照rpm已执行reconfigure就不用再执行）

gitlab-ctl reconfigure

重启 gitlab

gitlab-ctl restart

gitlab日志查询

日志存储位置：/var/log/gitlab/
执行日志查询：# gitlab-ctl tail

Gitlab版本降级

停止gitlab服务

gitlab-ctl stop

卸载当前版本的gitlab

gitlab-ctl uninstall
yum remove gitlab-ce

执行安装新版本命令

yum install -y gitlab-ce-版本号
或者
rpm -Uvh gitlab-ce-14.0.5-ce.0.el7.x86_64.rpm