docker容器封装redis,记一次挖矿病毒紧急处理

已于 2022-08-07 13:39:15 修改
阅读量799 收藏 1
点赞数 2
分类专栏: 运维 文章标签: docker redis 容器
于 2022-08-07 13:24:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lslym2010/article/details/72518183
版权

一.处理过程

今天阿里云突然联系到我们说,线上的云服务器有参与挖矿的行为,限期整改。当时人都紧了一下。运维工作干的少,只能下硬着头皮看看了。

服务器是

 在云服务的管理页面就可以看到cpu 使用占到98%,

1.远程连接上 top

可以看到cpu 跑到395.0 ,当然 这肯定不可能,应该显示错误,并且cpu占用量不会根据时间有跳动。基本可以确定这就是挖矿程序了。但是我不记得自己部署过这个东西,而且这个服务器很简单 ,基本所有的应用都是基于docker启动的。我就怀疑是不是docker中的容易被攻击导致。但是我们还是在坐下简单排查。

2.再进一步使用 ps -ef|grep pidname

  

可以看到这个sys-processor- 启动是在 /tmp/目录下,并且创建的用户是999,可以肯定这个进程是被其他的东西启动的

3.输入docker stats

列表中一个redis 的负载超级高,也不会随时间变动,基本可以肯定是这个容器中招了!

使用docker ps 查看docker-redis容器id,再输入docker exec -it  containerid /bin/bash 进入容器

4.删除掉文件

使用touch 命令在/tmp目录下创建一个同名的sys-processor-usage-monitor空文件

退出容器,杀死kdevtmpfsi进程:kill pid,完成整个处理过程。

此时负载已经正常,全局搜索下是否还存在该文件,宿主机+redis容器,都查找文件,全部删除,若没有则无需操作。

5.输入 find / -name 文件名称(可以使用通配符)

二.总结与反思

1.之前为了查看线上redis 情况在安全配置中对外打开了端口,后面忘记关闭。这其实是个很危险的做法。所以及时关闭调试使用额外工具、端口是防止关键手段

2.关闭掉除对外提供服务的端口外,其余端口

3.一定要对使用的工具做到权责分明,是分配相应权限,其余权限关闭

4.一定要为redis、mysql这类服务设置足够健壮的密码

由于第一次写这样的文章,可能表述不够清楚,有需要的了解其他的朋友可以留言、私信。对于这个病毒的引起过程我还会继续探索下去在以后继续更新

Licifer.

2022年8月

lslym2010
关注
专栏目录
使用docker部署redis
橘猫的博客
10-21 1486
使用docker部署redis
docker 容器安装redis
qq_48916812的博客
01-11 470
1.先下载镜像docker pull redis 默认是下载最新的版本 2.在本地新建一个目录用来映射redis容器mkdir -p /usr/local/docker/redis 3.进入到这个目录里面cd /usr/local/docker/redis/ 4. 下载文件redis.conf配置文件 wget http://download.redis.io/redis-stable/redis.conf 5.编辑conf文件vim redis.conf 修改文件按i输..
挖矿病毒处理
qq_29415357的博客
05-30 430
挖矿病毒处理命令 查看动态任务状况 top 查看病毒进程 ps -ef |grep kdevtmpfsi ps -ef |grep kinsing 查看异常ip和端口 netstat -natp |grep 查找异常文件 find / -name kdevtmpfsi find / -name kinsing 看看有哪些异常的docker镜像 /var/lib/docker/overlay2/3d08459e1c8ed846432961e87ab0e6f82e17749342696997
IDEA连接阿里云ECS运行的docker,及处理挖矿病毒kdevtmpfsi的经历
qq_40662424的博客
03-01 1310
文章目录前置条件docker版本:1.13.1相关参考文章1.修改docker相关配置1.1 修改docker配置文件1.2 重新加载配置文件1.3 重启docker2.配置阿里云ECS开放端口23753.配置IDEA连接Docker 前置条件 docker版本:1.13.1 相关参考文章 https://blog.csdn.net/qq_34404388/article/details/103739870 https://blog.csdn.net/lovoo/article/details
挖矿病毒处理
热门推荐
Z.Virgil的博客
08-15 1万+
wnTKYg进程发现 执行top 会发现此进程。 wnTKYg应该是利用 redis 漏洞入侵,加了定时任务,每一段时间向固定地址发送请求,执行挖矿程序后导致 cpu 和带宽升高, kill 进程会自动重启。 检查authorized_keys、known_hosts文件 [root@zfr ~]# cd /root/.ssh [root@zfr ~]# cat auth...
挖矿病毒“盯上”了 Docker 服务器
QIANDXX的博客
03-30 392
挖矿病毒“盯上”了 Docker服务器
docker拉取redis镜像并run一个容器,使用redis服务
07-21
一、Docker 容器Redis 服务 使用 Docker 容器Redis 服务可以使得 Redis 服务独立于宿主机操作系统之外,从而提高服务的可移植性和可维护性。 1. 拉取 Redis 镜像 首先,我们需要从 Docker Hub 中拉取 Redis...
docker redis离线镜像redis.tar
最新发布
08-12
docker上的redis离线镜像redis.tar, 用于在docker上离线安装redis
docker-compose redis主从哨兵 redis多节点高可用 redis集群高可用
04-12
首先,Docker Compose是一个强大的工具,可以让我们通过YAML文件定义和运行多容器Docker应用。在这个场景下,我们可以用Docker Compose来管理多个Redis实例,包括主节点、从节点和哨兵节点,以实现高可用性。 1. ...
docker运行redis容器
U___U的专栏
07-18 818
或者;;;或者,前者只列出状态为UP的容器;;;;;;;;构建镜像使用的 Dockerfile。FROM redis
Docker Hub上镜像发现挖矿蠕虫病毒,已导致2000台主机感染
民工哥的博客
10-21 1285
点击上方“民工哥技术之路”选择“星标”每天10点为你分享不一样的干货安全公司Palo Alto Networks威胁情报小组Unit 42发现一种新型的Graboid挖...
linux的redis病毒pscan,Dockerredis容器导致被挖矿病毒*kdevtmpfsi * 入侵, 干它
weixin_29218509的博客
05-14 567
以下内容全凭忆。研发的一台docker创建了redis容器,直接设置无密访问导致被入侵。在母机上查询一下,其实第一个就可以了,第二个很多人搜索不到。[root@devtest tmp]# find / -name "*kdevtmpfsi*"/var/lib/docker/overlay2/0cf543cd0ddd70e9e68333057aefa1ca0c1864e5214630b4dd2f4...
挖矿病毒解决经验
2301_79011934的博客
03-18 491
通过刚才top查看的进程会发现有一个pid为998的用户启动了那几个进程,通过cat/etc/passwd查看系统中所有的用户,拿到998用户对应的用户名,把用户删除。使用top命令查看系统资源占用,按shift+p排序查看cpu高占用的进程,发现挖矿病毒分为多个进程运行,如果是多核cpu可以按1查看每个核心的占用情况。由于挖矿病毒一般都无法通过杀死进程直接根除,所以需要找出病毒进程,根据病毒进程找到启动的脚本。脚本一般来说是没有权限运行的,说明服务器可能已经沦陷,管理员密码被获取,或者留了隐藏用户。
因为docker开启远程连接而导致服务器被挖矿,cpu爆满
qq_46149597的博客
05-10 507
属性被修改导致无法删除,使用chattr发现没有这个命令,查看了一下安装包发现还在,可能是被丢到别处去了。想查询一下命令去哪里了,但服务器早爆了,不等了。更据上面的地址找到并删除:在找的时候发现在 usr/local/bin下面发现挖矿脚本,可以直接删除。kill -9 不管用,进程pid一直在更换,所以手速要快一点,通过pid去查看。但是预加载恶意动态链接库型后门 无法删除。
一起linux虚机感染挖矿病毒对外恶意传播的处理
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
07-04 1265
问题描述 虚机因对外恶意发包,被云服务提供商封堵22端口,导致无法ssh;通过修改ssh端口号,登录后top发现,有2个占用cpu 99%的同名进程在运行,叫gpg-agentd; 影响范围:一台linux虚机 问题分析及过程: 通过google搜索发现,GPG提供的gpg-agent提供了对SSH协议的支持,这个功能可以大大简化密钥的管理工作。但是我们发现的异常进程是gpg-agentd,多了一个字母d,属于伪装程序。 根据gpg-agentd的进程pid:23374,通过ps命令查看进程启动路径、通过n
Redis Docker容器安全性防护,防止入侵】
诗和远方,代码和你
07-24 1590
■ 需求背景 为团队构建测试环境缓存 ■ 实现步骤 Step. Docker Hub上找镜像: Step. Docker Hub上拉指定版本镜像: Step. 查看镜像: Step. 新建配置文件: Step. 创建脚本并运行 Step. 测试连接: Step. 测试监控:,键入 Step. 查看宿主机数据目录:,发现挂载成功Step.查看redis数据 + log + pid文件存储的默认目录dir:,结果若不是 /data,则设置一下: 备注 1)可以设置redis密码:,下次连接redis客户端,需经
云原生|小心,你的Docker别被挖矿
记录、分享技术总结,避坑经验等
06-09 3958
漏洞自动扫描可以帮助更好的保护我们的容器化应用系统,通过Docker集成原生Snyk工具提供的镜像安全性检查可以获得对镜像漏洞的可见性,并帮助我们更好的遵循开发最佳实践,并允许开发团队将漏洞测试作为内部开发流程的一部分,同时更好的满足系统合规性要求。......
新手使用Redis时,被挖矿组织偷袭
weixin_55166254的博客
10-20 606
本文大概分析了,当你打开Redis访问权限后,系统是如何被一步步入侵的过程,并录了一下当被入侵后的一些措施,另外我的知识简单的处理,可能病毒仍未清除干净,需要找更专业的文章进行排查
不安全的redis设置,问题居然这么严重!(服务器挖矿病毒的解决方案)
coderxz的博客
06-29 3934
一次解决挖矿病毒的过程(进程:susupdate,networkservice) 昨天晚上突然收到阿里云的警报提醒,服务器又被攻击,开始还没当回事,晚上测试的时候发现服务器变的异常卡顿。然后进入后台查看,发现CPU直接飙升到100%… 文章目录1.找出病毒进程2.根据进程号找到运行文件的位置3.删除病毒进程4.删除病毒文件4.1 文件无法正常删除如何解决?5.删除定时任务(重要!!)6.修改/root/.ssh/authorized_keys文件7.修复SElinux和wget、curl指令8.被.
python部署docker容器读取redis数据
05-25
要在Docker容器中读取Redis数据,你需要在Docker容器中安装Redis客户端,并将其与Redis服务器连接。下面是一些基本步骤: 1. 在Dockerfile中安装Redis客户端: ```Dockerfile FROM python:3.8 RUN apt-get update && apt-get install -y redis-tools ``` 这将在Docker容器中安装Redis客户端(redis-tools)。 2. 运行Docker容器并连接到Redis服务器: ```bash docker run --rm -it --network=host my_image_name redis-cli -h my_redis_host -p my_redis_port ``` 这将在Docker容器中启动Redis客户端并连接到指定的Redis服务器。 3. 通过Redis客户端读取数据: ```bash redis> GET my_key ``` 这将从Redis服务器中获取名为`my_key`的值。 注意:在Docker容器中使用`--network=host`选项将容器连接到主机网络,这样可以直接访问主机上的Redis服务器。如果Redis服务器在容器网络中,请使用容器名称作为主机名连接到Redis服务器。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值