今天同事过来找到我说服务器被人挖矿了。。然后发截图给我看
6个redis
病毒
redis容器
这台机子因为是我自己的测试机子一般也没有在意,之前部署过rancher一些服务,
所以有redis我并没有觉得是从容器运行这个挖矿服务的
我先用指令top,查看挖矿服务的PID是多少,接着我通过已知PID查看该进程详细信息,发现是10月份就已经在运行了:
$top
$ll /proc/PID/exe
image.png
本来我以为是做的软链接目录结构,我通过查询这些目录发现并没有这些目录,
所以我确定是通过容器在运行该xmrig病毒,我也尝试用
$kill -9 PID 删除该线程,我发现会自动重启
所以基本上可以确定和我当初搭建rancher有关系,可能被破解了,
然后通过镜像运行该挖矿容器。我果断暂停所有容器服务,xmrig病毒就这样完了。
总结还是对外服务设置安全系数不够高,密码也过于简单。很容易拦截下来破解。服务器硬件防火墙还是起到作用了,遇到这种通过rancher破解登录的,还需要在做进一步加密。
网友评论