服务器中毒(容器类)
本帖最后由 sw1995 于 2020-10-19 17:35 编辑今天上班,开发人员反映程序一会好一会坏,用ssh工具连接服务器也特别卡,在aly控制台ssh连上后,通过nethogs工具看到网络sent流量特别大,然后在aly控制面板看到出口流量爆满了,通过端口找到了服务,查到是一个运行的docker容器(这个容器并不是我自己部署的),然后我就立刻停掉这个容器,并没有删除容器,也没删除镜像,只是停掉了,网络立刻恢复正常。过了一段时间后,这个容器又莫名其妙的自己启动了,网络又爆了。问了同事之后,果断删除容器以及镜像。网络暂时恢复。第二天登录服务器看到这个容器又启动了,看了服务器任务计划,啥也没有。然后我进入到容器看到了它使用的几个端口,然后在安全组里封掉了,但是这个容器还是一直在。链接里是我从服务器上save下来的容器镜像,希望有大佬可以帮忙分析分析,看看有啥好的办法解决。解压密码52pojie
链接: https://pan.baidu.com/s/1Jmb5E8sfuN6pLJ9n2aeOqw 提取码: j9jy
目前在Google上查到一些资料https://blog.aquasec.com/container-attacks-on-redis-servers
本帖最后由 ju0594 于 2020-10-19 01:01 编辑
好奇传到docker上看了下, run.sh里看到了teamtnt字样, 让我想起了这篇帖子
https://www.52pojie.cn/forum.php?mod=viewthread&tid=1283815
不过应该不一样哈,不过看起来确实是中毒了。
又搜了下,可能是这个。
https://x.threatbook.cn/nodev4/vb4/article?threatInfoID=2813
我是菜鸟,看看有没有大佬知道怎么杀的。
你docker端口对外开放了,而且没有加ssl验证,现在有一堆扫描器每天都在扫网络上的docker, ip屏蔽试试呢 看看定时任务是不是有异常写入,或者守护进程之类的 这是开了进程守护?断了自动重启?还有查看任务,尽量多用户查看,个别用户可能通过脚本,自启动。
容器启动时有自启动配置,在删除容器和镜像后,就不会再自启动了。 可以占领个同名的镜像然后一直开着,看能不能缓解? 先把两个容器备份出来,然后找到另外一个容器的文件直接删除,在扫描以下看有没有隐藏在其它目录的文件,有的话一并删除,以防恢复调用 查看系统日志,检查定时任务 (crontab) 跟着看看学习一下! 插眼,学习,很好奇它是如何实现的不让删掉的
页:
[1]
2