今天同事過(guò)來(lái)找到我說(shuō)服務(wù)器被人挖礦了棠众。棍好。然后發(fā)截圖給我看
這臺(tái)機(jī)子因?yàn)槭俏易约旱臏y(cè)試機(jī)子一般也沒(méi)有在意,之前部署過(guò)rancher一些服務(wù)踩晶,
所以有redis我并沒(méi)有覺(jué)得是從容器運(yùn)行這個(gè)挖礦服務(wù)的
我先用指令top,查看挖礦服務(wù)的PID是多少,接著我通過(guò)已知PID查看該進(jìn)程詳細(xì)信息,發(fā)現(xiàn)是10月份就已經(jīng)在運(yùn)行了:
$top
$ll /proc/PID/exe
本來(lái)我以為是做的軟鏈接目錄結(jié)構(gòu),我通過(guò)查詢這些目錄發(fā)現(xiàn)并沒(méi)有這些目錄纪铺,
所以我確定是通過(guò)容器在運(yùn)行該xmrig病毒,我也嘗試用
$kill -9 PID 刪除該線程碟渺,我發(fā)現(xiàn)會(huì)自動(dòng)重啟
所以基本上可以確定和我當(dāng)初搭建rancher有關(guān)系鲜锚,可能被破解了突诬,
然后通過(guò)鏡像運(yùn)行該挖礦容器。我果斷暫停所有容器服務(wù)芜繁,xmrig病毒就這樣完了旺隙。
總結(jié)還是對(duì)外服務(wù)設(shè)置安全系數(shù)不夠高,密碼也過(guò)于簡(jiǎn)單骏令。很容易攔截下來(lái)破解蔬捷。服務(wù)器硬件防火墻還是起到作用了,遇到這種通過(guò)rancher破解登錄的榔袋,還需要在做進(jìn)一步加密周拐。