吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 3113|回复: 16
收起左侧

服务器中毒(容器类)

[复制链接]
sw1995 发表于 2020-10-18 22:23
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 sw1995 于 2020-10-19 17:35 编辑

今天上班,开发人员反映程序一会好一会坏,用ssh工具连接服务器也特别卡,在aly控制台ssh连上后,通过nethogs工具看到网络sent流量特别大,然后在aly控制面板看到出口流量爆满了,通过端口找到了服务,查到是一个运行的docker容器(这个容器并不是我自己部署的),然后我就立刻停掉这个容器,并没有删除容器,也没删除镜像,只是停掉了,网络立刻恢复正常。过了一段时间后,这个容器又莫名其妙的自己启动了,网络又爆了。问了同事之后,果断删除容器以及镜像。网络暂时恢复。第二天登录服务器看到这个容器又启动了,看了服务器任务计划,啥也没有。然后我进入到容器看到了它使用的几个端口,然后在安全组里封掉了,但是这个容器还是一直在。链接里是我从服务器上save下来的容器镜像,希望有大佬可以帮忙分析分析,看看有啥好的办法解决。解压密码52pojie

链接: https://pan.baidu.com/s/1Jmb5E8sfuN6pLJ9n2aeOqw 提取码: j9jy


目前在Google上查到一些资料  https://blog.aquasec.com/container-attacks-on-redis-servers

容器

容器

容器

容器

流量截图

流量截图

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

ju0594 发表于 2020-10-19 00:54
本帖最后由 ju0594 于 2020-10-19 01:01 编辑

好奇传到docker上看了下, run.sh里看到了teamtnt字样, 让我想起了这篇帖子
https://www.52pojie.cn/forum.php?mod=viewthread&tid=1283815

不过应该不一样哈,不过看起来确实是中毒了。

又搜了下,可能是这个。
https://x.threatbook.cn/nodev4/vb4/article?threatInfoID=2813

我是菜鸟,看看有没有大佬知道怎么杀的。
officektv 发表于 2020-10-19 13:26
你docker端口对外开放了,而且没有加ssl验证,现在有一堆扫描器每天都在扫网络上的docker,
ajm3 发表于 2020-10-18 22:47
HighBox 发表于 2020-10-18 22:48
看看定时任务是不是有异常写入,或者守护进程之类的
Eaglecad 发表于 2020-10-19 00:08
这是开了进程守护?断了自动重启?还有查看任务,尽量多用户查看,个别用户可能通过脚本,自启动。
容器启动时有自启动配置,在删除容器和镜像后,就不会再自启动了。
爱飞的猫 发表于 2020-10-19 05:12
可以占领个同名的镜像然后一直开着,看能不能缓解?
167023ab 发表于 2020-10-19 08:31
先把两个容器备份出来,然后找到另外一个容器的文件直接删除,在扫描以下看有没有隐藏在其它目录的文件,有的话一并删除,以防恢复调用
metaphysic 发表于 2020-10-19 09:09
查看系统日志,检查定时任务 (crontab)
168qn 发表于 2020-10-19 09:23
跟着看看学习一下!
萌萌哒的小白 发表于 2020-10-19 11:03
插眼,学习,很好奇它是如何实现的不让删掉的
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 15:18

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表