因为docker开启远程连接而导致服务器被挖矿,cpu爆满

已于 2023-05-10 15:48:42 修改
阅读量598 收藏
点赞数 1
CC 4.0 BY-SA版权
文章标签: linux 运维 服务器
于 2023-05-10 15:38:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46149597/article/details/130599943
文章描述了一位系统管理员如何通过`top`命令检查系统异常,发现并处理后门文件,尤其是那些无法直接删除的预加载恶意动态链接库。管理员使用`vim`、`chattr`和`yum`命令来解除文件属性、移除软件并重新安装,以消除影响。同时,检查`systemctl`状态和`crontab`任务来确认无定时恶意任务。最终,重启服务器恢复正常运行。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

使用top命令查看:

top

发现top查看不出任何问题,那就说明被后门隐藏了 ,查看一下后门文件:

vim /etc/ld.so.preload

更据上面的地址找到并删除:在找的时候发现在 usr/local/bin下面发现挖矿脚本,可以直接删除。

 但是预加载恶意动态链接库型后门  无法删除

 

属性被修改导致无法删除,使用chattr发现没有这个命令,查看了一下安装包发现还在,可能是被丢到别处去了。想查询一下命令去哪里了,但服务器早爆了,不等了

chattr -ia /etc/ld.so.preload

那就删掉重新安装: 

yum remove e2fsprogs

yum install -y e2fsprogs

然后再修改属性并删除,/etc/ld.so.preload 文件里边的路径文件都抓出来修改并删除:

chattr -ia /etc/ld.so.preload

rm /etc/ld.so.preload

 此时再用top查看,已经显示出来,剩下几个刷新太快没截到:

 kill -9 不管用,进程pid一直在更换,所以手速要快一点,通过pid去查看

systemctl status 你的-PID

  最后通过路径发现罪魁祸首如下:

 

再查一下定时任务,我这边没有发现。 

crontab -l

 如果有就进去修改

crontab -e

 最后重新启动云服务器,一切正常:

轮孑哥
关注
Docker开放2375端口被挖矿,docker镜像部署阿里云私有镜像库
h_j_c_123的博客
05-26 699
因为之前组装了一台个人的服务器并且可以公网访问,然后为了方便就部署了docker并开放了2375端口进行外网打包,但是这个2375端口有漏洞经常会被大佬攻击,机器也被拿去挖矿,我就在想有没有什么办法可以在不开放docker远程连接端口的情况下能把自己的代码镜像部署上去。
云原生|小心,你的Docker别被挖矿
记录、分享技术总结,避坑经验等
06-09 4053
漏洞自动扫描可以帮助更好的保护我们的容器化应用系统,通过Docker集成原生Snyk工具提供的镜像安全性检查可以获得对镜像漏洞的可见性,并帮助我们更好的遵循开发最佳实践,并允许开发团队将漏洞测试作为内部开发流程的一部分,同时更好的足系统合规性要求。......
Docker 0day,第一次公开,注意你的docker可能已经被用来挖矿
2202_75361164的博客
12-06 345
漏洞也是写文章的时候发现的,为简单的弱口令漏洞,但是也是我目前遇到的几十个弱口令中最离谱的一个。1.登录之后就可以对Docker进行任意命令执行,通过逃逸或者提权有可能获取root权限。2.Docker这里可以进行所有的镜像操作,如果被攻击者利用,3.攻击者可以任意删除镜像,对使用者造成经济损失。弱口令账号和密码:ginghan/123456。
Docker容器挖矿应急实例
08-07 778
01、概述很多开源组件封装成容器镜像进行容器化部署在提高应用部署效率和管理便捷性的同时,也带来了一些安全挑战。一旦开源系统出现安全漏洞,基于资产测绘就很容易关联到开源组件,可能导致被批量利用。在本文中,我们将分享一个真实的Docker容器应急实例,涉及到基于开源组件漏洞披露的前后时间段内,容器遭遇挖矿程序植入的情况。我们将深入分析排查过程,还原入侵的步骤和手段,帮助读者了解应对挖矿程序入侵的实际应...
docker容器封装redis,记一次挖矿病毒紧急处理
lslym2010的博客
08-07 911
docker容器封装redis sys-processor-usage-monito
记录一次服务器因打开Docker允许远程登陆而不添加任何防护而被挖矿的经历
kitia01的博客
12-06 1241
可疑编码命令 可疑发生时间:2024-12-06 23:04:56告警描述:检测模型发现您的服务器上执行的进程命令行高度可疑,很有可能与木马、病毒、黑客行为有关。异常事件详情数据来源: 进程启动触发检测告警原因:该命令行存在高度可疑的编码特征。用户名:root命令行:chroot /mnt/ /bin/sh -c if!fi;进程路径:/bin/busybox进程ID:24609父进程文件路径:/usr/bin/runc父进程ID:24608进程链:fi;
docker开启远程访问
最新发布
蜜獾互联网
12-12 1139
至此,CA证书就创建完成了,有了CA之后,就可以创建服务器密钥和证书签名请求(CSR)了,确保“通用名称”与你连接Docker时使用的主机名相匹配。由于可以通过IP地址和DNS名称建立TLS连接,因此在创建证书时需要指定IP地址。配置0.0.0.0,允许所有的ip可以链接(但只允许永久证书的才可以连接成功)使Docker守护程序仅接收来自提供CA信任的证书的客户端的链接。注意:这里指的ip或者是域名,都是指的将来用于对外的地址。配置白名单的意义在于,允许哪些ip可以远程连接docker
pycharm与ssh远程访问服务器docker的详细教程
01-09
然而现阶段诸多服务器上安装有docker,通常需要在docker内完成调试代码,因此本文主要提供远程访问服务器docker的配置方法。   需要工具及说明: 一台远程服务器 pycharm:集成开发工具,在本地安装 ssh:远程...
使用portainer连接远程docker的教程
01-20
Portainer是一个轻量级的docker环境管理UI,可以用来管理docker宿主机和docker swarm集群。他的轻量级,轻量到只要个不到100M的docker镜像容器就可以完整的提供服务 Portainer的Hub地址是:...
挖矿病毒“盯上”了 Docker 服务器
QIANDXX的博客
03-30 477
挖矿病毒“盯上”了 Docker服务器
【详解】远程采矿,智慧矿采如何实现
AshiningFAE的博客
08-16 455
想象以下两个场景,哪一个更像采矿从业者? 场景一,黑灰附着在人的周身,汗水流过裸露在外皮肤,显现出一道道崎岖的痕迹。一双工业手套也在各种污迹的熏染下看不出原来的颜色,头上一盏盏探照灯在黑暗的地底逡巡。 场景二,窗外炎热蒸腾的暑气,明亮宽敞的房间里,空调送出丝丝冷意,旋转座椅上,一个人正熟稔地敲击键盘按键按钮。 这两个场景中,确实是场景一才是我们印象中的采矿工人,场景二更像是一个都市白领。 但实际情况是,场景二也同样是一个采矿从业者,坐在地面舒服的座椅上,动动手指、敲敲键盘,和打游戏一样,就能远程操控地下
完蛋,我被挖矿木马包围了|使用 TLS 连接 Docker
qq_41468830的博客
01-09 1021
近日,白泽在使用 docker 的时候,开放了防火墙的端口,以 SSH 方式访问远程服务器docker 守护进程(无需使用密钥即可建立连接),随后竟遭到了挖矿木马的攻击!
Docker详解
热门推荐
李宥的博客
01-03 8万+
Docker详解 一、Docker基础 1、Docker简介 Docker 是一个开源的应用容器引擎,基于Go 语言并遵从 Apache2.0 协议开源。 让开发者可以打包他们的应用以及依赖包到一个可移植的镜像中,然后发布到任何流行的操作系统的机器上,也可以实现虚拟化。容器是完全使用沙箱机制,相互隔离,性能开销极低。 Docker 从 17.03 版本之后分为 CE(Community Edition: 社区版) 和 EE(Enterprise Edition: 企业版),我们用社区版就可以了。 2、
记一次服务器挖矿的处理解决
ZL_1618的博客
12-28 1328
last 列出当前和曾经登入系统的用户信息> 它默认读取的是/var/log/wtmp文件的信息> 输出的内容包括:用户名、终端位置、登录源信息、开始时间、结束时间、持续时间。> 当然也可以通过 last -f 参数指定读取文件,可以是/var/log/btmp、/var/run/utmp。这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!IP 查询,如若未发现异常,推断应该是:攻击者清除了登录记录日志导致的。
云原生 小心,你的Docker别被挖矿了_node lts-alpine,2024年最新2024大数据开发高级面试题总结
2401_84167072的博客
04-18 971
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。需要这份系统化的资料的朋友,可以添加V获取:vip204888 (备注大数据)一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!1)]一个人可以走的很快,但一群人才能走的更远!
如何定位到服务器CPU飙高的原因
qq_45932382的博客
06-06 2997
最近生产的服务器老是提示cpu使用率飙高的提示,出于兴趣,排查一下,找到了问题的原因。下面就总结一下如何定位到导致CPU飙高的问题。1、使用top指令找到CPU使用最高的进程 2、使用 top -Hp 进程Id ,找到使用率最高的线程 3、将这些线程id转换为16进制的,printf “%x\n” 线程Id 4、jstack 打印进程堆栈信息 (6962是进程id,a33是线程id的对应的16进制) 这要就能找到导致CPU使用率飙高的具体的代码了。嘻嘻嘻嘻~~~~~.............
【瞎折腾日常】服务器cpu飙高到1000%了怎么破
全糖少冰我吃不了苦
07-02 638
起因是用户反馈系统很卡,我登录普罗米修斯一看,发现docker部署得集群下的一个java应用服务器cpu爆了,直接冲到了1000%以上了,接着就是各种接口超时报警等,赶紧打开对应的服务器查看进程情况,这会使用jstack和top命令定位哪个线程占用的cpu比较大,定位代码问题。代码中调用的某些资源造成的死锁或者是代码的死循环导致cpu超频计算,或者长时间占用cpu的操作,像一些递归的使用、循环操作等等,或者一些特别复杂的正则匹配引起;程序中存在大量的数据库操作,导致数据库连接池的耗尽和数据库负载过高。
再记一次 应用服务器 CPU 暴高事故分析
一线码农的专栏
02-08 449
一:背景 1. 前言 大概有2个月没写博客了,不是不想写哈????,关注公号的朋友应该知道我这两个月一直都在翻译文章,前前后后大概100篇左右吧,前几天看公号的 常读用户 降了好几十,心疼哈,还得回过神来继续写! 2. 讲故事 上周给 武汉同济 做项目升级,本以为一切顺利,结果捅娄子了,第二天上午高峰期运维说生产上两台 应用服务器 cpu 被打,影响到所有客户使用,造成了大面积瘫痪,真尬尴,得先让运维抓一个 dump 下来再重启网站,还好,老板人可以,没有问责 ????。 二:CPU 爆高问题分析 1.
docker-compose 连接远程服务器
06-08
要使用 Docker Compose 连接远程服务器,需要在本地机器上安装 DockerDocker Compose,并且确保远程服务器上也已经安装了 Docker。 接下来,需要在本地机器上创建一个 docker-compose.yml 文件,并在其中指定要...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值