Go 日的挖矿病毒,好好的周末被毁了

查看 33|回复 2
作者:guiling   
白天在外面浪的好好的,收到客户反馈服务崩了,服务器上去一看两个“xm”进程 cpu300%。。。另一个同事卡的 ssh 都连不上
查到最后发现是 docker 里起的服务,病毒文件在容器 tmp 目录里,宿主机/var/lib/docker/overlay2/容器 id/merged/tmp 也有
病毒是个挖矿程序,跟这个帖子一样 /t/969255 ,也是 c3pool 的账号
这个病毒挺能潜伏的,有日志文件,发现两个月前就在了,只是 cpu 占用不高没被发现,容器里一堆脚本 networkSync 、kdevtmpfsi 、watchdogs
目前处理方法是重新构建了镜像(怀疑是很久之前某次构建镜像源有问题?因为容器创建都 1 年多了,中途都是拷贝代码到容器重启)
这种人有办法搞他么?脚本备份了,有他 c3pool 的 user 信息,暂时先不放出来,怕被看到,因为不确定毒是否清干净了,咱也不是专业运维
有两个问题希望有遇到过的老哥能解惑下
1 、tmp 目录没映射为啥宿主机也有对应的文件,是 docker 内部能越权还是 docker 内所有文件宿主机都能直接查到?
2 、相同代码、依赖镜像还有其他容器,但是只有这个出了问题,除了镜像源投毒,java 依赖包有可能干这事么
这个病毒挺能潜伏的,有日志文件,发现两个月前就在了,只是 cpu 占用不高没被发现
提醒下各位同志们检查下自己服务器 tmp 或者容器 tmp ,有没有可疑文件( xm 、networkSync 、kdevtmpfsi 、watchdogs 之类的),这货账号下有 100 多个矿机。。。估计都是肉鸡
wangsongyan   
成功被标题里的“Go”吸引到了
DefoliationM   
docker 又不是虚拟机,没有虚拟磁盘,文件当然会存在宿主机文件系统上了。
Java 依赖包也有可能投毒,况且 Java 还有 java-agent 这种东西,想干什么更方便。
您需要登录后才可以回帖 登录 | 立即注册

返回顶部