lwdbcy 2022-01-05 10:58 采纳率: 53.3%
浏览 66
已结题

docker被挖矿问题

问题遇到的现象和发生背景

背景:我在腾讯云上购买了一个轻量级的服务器,并在上面安装了docker。
现象:

  1. 我拉取了镜像(官方和非官方都有,但是无redis镜像),运行容器,一段时间后发现cpu 100%,查询后发现是被挖矿病毒入侵了(kdevtmpfsi),我按照一些教程上的处理方法,也没有办法将其处理掉,最后我直接将服务器重置了。
  2. 但是我再次安装docker不久,我发现又被入侵了,但是这一次我只拉取和运行了一个postgis官方镜像
我的解答思路和尝试过的方法
  1. 我按照一些文章的解决方法,处理挖矿病毒,但是并没有起到作用
  2. 查询之后有些说有可能是docker远程访问的问题,但是我的服务器防火墙并没有开放相关的端口
我想要得到的解答
  1. 这个挖矿病毒是怎样入侵的。
  2. 如何比较安全的使用docker远程
  3. 如何不使用docker远程访问怎样能够将其关闭

希望各位小伙伴能给予解答或者推荐相关的文章。

  • 写回答

1条回答 默认 最新

  • 禾糖月色 2022-01-05 12:08
    关注

    1.信息太少,无法判断是如何感染的,至少从目前已知信息来看,是从容器感染还是服务器感染尚不能确定。
    说下常见的挂马方式:
    - web防火墙开放了违规端口,一般web防火墙(网络安全组)需要什么开通什么,默认只开放80和443端口,其他端口一律关闭,如果有远程需求,开放指定IP的访问规则,因为常见的6379(redis端口,redis漏洞非常多,像提权漏洞,能获取root权限,接下来为所欲为)
    - 下载了木马文件或通过外部设备感染,比如磁盘映射等,木马文件会后台下载更新木马,并且改变你的crontab定时任务,如果没能处理掉定时任务,及时删除了木马文件也无法解决,同时,高级的病毒还会改变你的lib文件和软连接,命令等等,甚至可以隐藏资源使用率
    - api,站点,上传未做限制,未做鉴权等:典型的例子例如开源软件xx-job,当执行器和调度器没有开启token的时候,由于开放端口,任何人都可以通过接口添加任务,即可植入木马
    - docker远程,基本上开启的人90%以上的人都会遇到挂马问题,因为基本上都没有配置证书,这个其实和上面一点是一样的,也是通过docker-api的方式注入的
    2. docker远程可以配置证书,提高安全性,没有配置证书,不建议使用,要使用请配合安全组,开放指定IP的访问,即使是动态IP,短时间内也不会改变,可能需要在IP发生改变时,响应改变安全组规则。
    3. docker远程是自己配置开启的,只需要回滚你的操作即可,具体视你改动,如果是公有云提供的服务,应当在控制台会有关闭的界面。

    个人建议:
    在使用docker时,不建议开启docker远程,通过ssh远程到目标服务器,用响应的docker命令更方便。需要对服务器的安全组做好控制,无需外网访问的一律关闭,需要外网访问的能配置点对点的策略全部点对点。镜像方面,尽量选择官方镜像或自己制作镜像,少用私人提供的镜像。

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论

报告相同问题?

问题事件

  • 系统已结题 1月13日
  • 已采纳回答 1月5日
  • 创建了问题 1月5日

悬赏问题

  • ¥15 fluent里模拟降膜反应的UDF编写
  • ¥15 MYSQL 多表拼接link
  • ¥15 关于某款2.13寸墨水屏的问题
  • ¥15 obsidian的中文层级自动编号
  • ¥15 同一个网口一个电脑连接有网,另一个电脑连接没网
  • ¥15 神经网络模型一直不能上GPU
  • ¥15 pyqt怎么把滑块和输入框相互绑定,求解决!
  • ¥20 wpf datagrid单元闪烁效果失灵
  • ¥15 券商软件上市公司信息获取问题
  • ¥100 ensp启动设备蓝屏,代码clock_watchdog_timeout