docker中病毒“kirito666(这是一篇不能解决实际问题的记录,介意勿看)

最新推荐文章于 2023-05-18 17:03:21 发布
最新推荐文章于 2023-05-18 17:03:21 发布
阅读量700 收藏 1
点赞数 1
分类专栏: 异常记录 文章标签: docker linux centos 反病毒
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ultingCSDN/article/details/117651850
版权

docker中病毒“kirito666”(这是一篇不能解决实际问题的记录,介意勿看)

####################################这是一篇不能解决实际问题的记录,介意勿看###########################################

问题发现:

阿里云发送短信:“尊敬的 XXXX:您的服务器因攻击被限制访问部分目的端口,详情信息请查看xxxx”
登录阿里云控制台可以看到CPU使用率达到99%,并且无法远程登录服务器。
并且在阿里云的安全告警处理器中可发现如下信息

在这里插入图片描述

处理流程:

登录阿里云,进行强制重启。重启后,就可以通过Xshell/SecureCRT工具远程登录服务器进行排查。
通过执行free -lh 、top、df -lh等命令均为发现异常。然后查看docker容器发现如下信息:

执行docker ps -a可以看到
从图示“command”一行可以看到,该命令执行了/root/run.sh命令文件,(这是相对于docker的root,如果找不到可以通过命令“find / -name ‘run.sh’进行查找”),我的命令文件所在地方:/var/lib/docker/overlay2/0a7c202defba14227cb9f21447de27c0c537f3b3deda4c8156e4dedc9aa7eaa2/diff/root/。
在这里插入图片描述
查看run.sh文件内容:

#!/bin/bash
#
#  ___________                 _____________________________                            
#  \__    ___/___ _____    ____\__    ___/\      \__    ___/                            
#    |    |_/ __ \\__  \  /     \|    |   /   |   \|    |                               
#    |    |\  ___/ / __ \|  Y Y  \    |  /    |    \    |                               
#    |____| \___  >____  /__|_|  /____|  \____|__  /____|                               
#               \/     \/      \/                \/                                     
#            __  .__.__  .__           .__  .__                                         
#    _______/  |_|__|  | |  |   _____  |  | |__|__  __ ____                             
#   /  ___/\   __\  |  | |  |   \__  \ |  | |  \  \/ // __ \                            
#   \___ \  |  | |  |  |_|  |__  / __ \|  |_|  |\   /\  ___/                            
#  /____  > |__| |__|____/____/ (____  /____/__| \_/  \___  >                           
#       \/                           \/                   \/                            
#
#~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~# 
#                                                                                 #
#  __________.____       _____  _________  ____  __.       ___________            #
#  \______   \    |     /  _  \ \_   ___ \|    |/ _|       \__    ___/            #
#   |    |  _/    |    /  /_\  \/    \  \/|      <    ______ |    |               #
#   |    |   \    |___/    |    \     \___|    |  \  /_____/ |    |               #
#   |______  /_______ \____|__  /\______  /____|__ \         |____|               #
#          \/        \/       \/        \/        \/                              #
#                                              #
#~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~#
#
#  .__  .__  _____          _____              __                                       
#  |  | |__|/ ____\____   _/ ____\_ __   ____ |  | __  ______  ___.__. ____  __ __      
#  |  | |  \   __\/ __ \  \   __\  |  \_/ ___\|  |/ / /  ___/ <   |  |/  _ \|  |  \     
#  |  |_|  ||  | \  ___/   |  | |  |  /\  \___|    <  \___ \   \___  (  <_> )  |  /     
#  |____/__||__|  \___  >  |__| |____/  \___  >__|_ \/____  >  / ____|\____/|____/      
#                     \/                    \/     \/     \/   \/                       
#       __                __      _____
最低0.47元/天 解锁文章
素雪风华
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
挖矿病毒“盯上”了 Docker 服务器
QIANDXX的博客
03-30 358
挖矿病毒“盯上”了 Docker服务器
docker-av:Docker的防病毒映像
05-18
码头客 Docker的防病毒映像
阿里云服务器毒‘Kirito666’经历
06-20 1710
阿里云服务器毒‘Kirito666’经历 尊敬的 xxx: 云盾云安全心检测到您的服务器:服务器出现了紧急安全事件:恶意脚本代码执行 。 早上阿里就一直给我发来这样的消息,让我一脸懵逼,当时还没想到是被黑了。(学编程,但是对于这块区域还算是小白)。 但是阿里一直提醒我,并且强行给我限制了性能。 等到我去连我服务器上的数据库时,一直断,并且非常卡顿,我的伙伴也过来问我怎么了。 这个时候我感到不对劲了(因为我一直比较相信阿里,安全方面应该没事,就觉得没什么关系)。 这个时候我打开了我的xshell。打开d
寄生于 Docker病毒 - Kinsing
u012359651的博客
02-22 1901
原创发表于 DavidZ Blog,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接及本声明。 前言 2020 年开年不顺,2019 新型冠状病毒肺炎爆发,从年三十居家隔离到了正月十五,没想到自己的服务器也”感染“上了病毒 - Kinsing(进程的名字,姑且这样称呼)。 发现 偶然看了看服务器状态,发现 CPU 占用一直保持在 100%上下,有些蹊跷。 难道是我的博客...
docker里运行病毒会对系统造成影响吗?
m0_57236802的博客
05-18 501
Docker 容器提供了一定程度的隔离,但它不如虚拟机(如 VirtualBox 或 VMWare)提供的隔离强大。而 Docker 容器共享主机的操作系统内核,虽然有很多隔离措施,但如果内核存在漏洞,或者 Docker 配置不当,有可能被恶意软件利用来逃逸到宿主机。总的来说,虽然 Docker 可以提供一定程度的隔离,但它并没有设计成一个安全沙箱,用来隔离恶意软件。因此,从安全角度来看,如果你打算在 Docker 容器运行病毒或恶意软件进行测试,你应该十分小心,并采取额外的安全措施。
通过docker避免本机病毒
qq_33441128的博客
01-30 450
docker for windows 实现浏览器与宿主机隔离
Docker容器 日志文乱码问题解决办法
09-30
主要介绍了Docker容器 日志文乱码问题解决办法的相关资料,需要的朋友可以参考下
Docker解决终端无法输入文的问题
09-29
主要介绍了Docker解决终端无法输入文的问题,帮助大家更好的理解和学习docker的用法,感兴趣的朋友可以了解下
Docker容器内不能联网的6种解决方案
09-30
今天小编就为大家分享一篇关于Docker容器内不能联网的6种解决方案,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
dockermysql初始化及启动失败问题解决方案
01-10
最近做项目,遇到这样问题docker 的mysql 不能启动,经过上网查资料,终于解决了这个问题,这里记录下,也许还能帮助到大家,  在docker有一个mysql服务,其数据文件是挂在在主机外面的文件,在docker的...
CentOS7 安装docker 解决启动不了的问题
09-30
主要介绍了CentOS7 安装docker 解决启动不了的相关资料,需要的朋友可以参考下
服务器(centos7)使用docker病毒攻击,导致cpu100解决方案
weixin_43691942的博客
10-29 3055
#!/bin/bash openssl genrsa -aes256 -out ca-key.pem 4096 openssl req -new -x509 -days 3650 -key ca-key.pem -sha256 -out ca.pem openssl genrsa -out server-key.pem 4096 openssl req -sha256 -new -key server-key.pem -out server.csr openssl x509 -req -days 3650
阿里云Docker毒-‘Kirito***‘解决过程记录
Time Will Tell
10-24 1230
果然,第一个容器并不是我添加的,本来想直接删掉的。不过又想了一下,万一有定时任务和镜像呢。我又看了一下镜像 有一个异常镜像 在网上搜到了关于介绍这个攻击的博客 https://blog.aquasec.com/container-attacks-on-redis-servers 这个镜像是4周前新发布的,作者文也有提到。 .
腾讯云Docker毒-‘Kirito666‘解决过程记录
weixin_42475281的博客
02-26 327
参考自大神的博客https://blog.csdn.net/weixin_43590389/article/details/109259526 问题描述 这几天阿里云学生服务器总是莫名被卡爆,cpu飙升100%内存占用满了,没想什么,重启后继续跑,然后过段时间又飙升100%,我以为是docker内应用跑太多了,学生机配置不够用,就升级了腾讯云的2核4G,过段时间依然 cpu飙升100%内存占用满了,发觉出问题,在docker发现如下镜像和容器。 原因 和上面大神的情况不同的是,并不是redis被攻击。
技术交流|Dockerfile RUN 后面的敏感信息检测
weixin_43742792的博客
11-04 793
在云场景的攻防,当我们控下一个私有云的仓库的时候,通过运行某个自动化工具,将一些敏感信息提取出来。
浅谈docker
ZCC的专栏
06-04 442
一、什么是Docker Docker是一个开源的引擎,可以轻松的为任何应用创建一个轻量级的、可移植的、自给自足的容器。开发者在笔记本上编译测试通过的容器可以批量地在生产环境部署,包括VMs(虚拟机)、bare metal、OpenStack 集群和其他的基础应用平台。 二、Docker运用场景: (1)web应用的自动化打包和发布; (2)自动化测试和持续集成、发布; ...
docker run命令_CVE-2019-14271:Docker cp命令漏洞分析
weixin_30394019的博客
01-09 589
0x00 前言在过去几年,研究人员在各种容器平台的copy(cp)命令发现了几个漏洞,这些平台包括Docker、Podman及Kubernetes,其最严重的漏洞直到今年7月份才被发现和披露。令人惊讶的是,当时这个漏洞并没有引起太多关注,这可能是因为该漏洞的CVE描述并不清晰,并且也没有公开利用代码。CVE-2019-14271是Docker cp命令实现存在的一个安全问题,攻击者可以利用...
关于阿里云服务器因攻击被限制访问部分目的端口6379端口访问阻断_Redis设置密码
DreamsArchitects的博客
02-04 3443
//关闭Redis redis-cli shutdown //关闭服务端 pkill redis-server 再次启动Redis服务,指定配置文件启动 redis-server /usr/local/redis/redis-5.0.0/redis.conf //使用密码进入Redis redis-cli –a 123456
服务器被攻击导致CPU100%的解决
过于丰富,无法简介
09-07 5459
排除服务器上是否有定时任务、顽固脚本等问题 top指令查看cpu占用情况: `` 尝试使用kill指令杀死对应进程,杀完之后发现对应服务依旧会重启: kill -9 pid 查看服务器进程数量,进程数量偏高确实存在问题: netstat -anp |grep tcp |wc -l 查看系统存在的定时任务,定时任务与占用CPU最高的服务名称相同尝试关闭定时任务 crontab -l 修改定时任务的文件,删除定时任务保存。保存后发现还是会向服务添加定时任务 crontab -e 直接停止定时任务进程
Docker实用篇 pp说明资料
最新发布
10-29
Docker实用篇是一份关于Docker的资料,主要内容包括:Docker的基本操作、Dockerfile自定义镜像、Docker-Compose、Docker镜像仓库等。文首先讲解了初识Docker,包括了Docker的定义、与虚拟机的区别、架构以及安装...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值