博主分享了一次意外遭遇电脑被用于挖矿的事件,详细描述了从发现异常到追根溯源,最终解决问题的过程。在Ubuntu18.04系统中,通过docker拉取的镜像隐藏了病毒,导致显卡资源被占用,电脑运行缓慢。博主通过检查htop进程、crontab自启动程序,发现了挖矿病毒并成功清除。提醒读者注意网络安全,及时更新系统和软件。
最近真的没想到一件只在“新闻中的事”却真真切切发生在自己身上,那就是我的电脑“被挖矿”了,成为俗称的“肉鸡”,真的让我开始关注起网络安全的重要性了。看到这,别想歪,我可没有用它来浏览带颜色信息!万万没想到,这个病毒其实隐藏在了一个docker镜像内,还好我及时发现并处理了,没造成啥重大损失,下次要引以为戒了。好了,下面就听我将整个事情原委一一道来。
首先交代一下,我的台式电脑是ubuntu18.04系统,32g运存,i7的处理器,显卡是getforce 2070super,docker版本是20.10.7版本。
(1)发现异常
让我最近起疑的是台式机有一次突然登录密码错误,登不上去了,我以为是自己忘了修改密码,然后通过修复模式进入系统设置新的密码,后来也没太在意,接着后面显卡驱动和~/.bashrc莫名奇妙不见了,然后自己手动又一一补上,此时我还以为是显卡松动了啥的,给它一通收拾,又过了几天一件事情真正让我觉察到这件事不简单,那就是我通过
watch -n 0.1 nvidia-smi观察显卡使用率,发现后台总是突然新起一个,有时候两个htop的进程,然后迅速占满显卡,而且电脑也会变得比较卡起来,于是我开始深究这个问题了。
(2)追根溯源
发现该异常进程后,然后我迅速去查看一下cpu使用情况
貌似没有发现啥特殊的,然后我就去查看了一下改进程的相关信息
ll /proc/23767 最后我去查看了一下root账户和个人用户后台自启动程序
crontab -l终于发现了一个莫名的自启动程序
然后查看了一下里面的内容
到这里终于明朗了,然后去网上一查,ip在新加坡段,一个著名的渡鸦币(RVN)显卡挖矿小病毒。
(3)激烈博弈
发现自己被肉鸡后,心情是又激动又忐忑,第一次碰到这玩意还真不知道如何解决,网上搜索了一番好像也没找到行之有效的解决办法,于是自己还是根据htop进程来入手。
刚开始自己只是手动kill这个进程,但是这显然治标不治本,然后自己一番思考,全盘查看一下htop相关的内容
sudo kill -9 xxx ##手动kill相关进程sudo find / -name htop* ###全盘查找与htop相关的
然后我得到一些相关信息(忘记截图了。。。),同时与crontb自启动的内容脚本一致了,于是接下来就是该删的删,该停的停了。
中间如果碰到一些文件在删除时报“只读系统文件”的问题时,就算加上了sudo也不能解决问题,这时候需要借助单用户模式下mount -o remount,rw /来解决问题,如果还是解决不了,可以尝试下面方法:
mount ###查看模块的属性,哪个模块输入只读ro,哪个模块输入可写rw
#对于出现与htop相关的模块,如果发现有ro,就重新mount,或者umount以后再remount,比如
umount /dev/nb1
###然后再rm -rf /dev/nb1即可后来发现原来是docker拉取的一个镜像里面包含了这个病毒,这个镜像主要和我最近做的传感器融合相关,加了一个vnc可视化,没想到里面尽然包括了这个玩意,坑死我了,花了几天时间才发现解决。然后果断将这个镜像关停删除,至于网上说的养蛊,也就是将这个病毒养起来慢慢玩,我想还是算了,等自己能力强大了再说。
好了,今天的分享就到这里吧,我想这也多亏是在docker内运行的小病毒,关闭该镜像,然后删除htop相关的自启动文件即可,现在观察了一天好像没有再出现该问题了,下次要多吸取教训了!如果觉得有趣有用,有空可以关注一下我的公众号“半路IT南”,谢谢!
扫一扫
413
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
