正在处理被黑客入侵的服务器

为什么容器会自动停止？

服务器为什么会口吃？

流程指向的神秘联系在哪里？

自动停止的发现容器

有一天，发现服务器上部署的一个容器已停止，并且认为是同事的误操作导致了该容器的停止或删除.

但是在登录服务器并重新启动容器时，我们发现了一个奇怪的现象: 容器在启动后几秒钟会自动停止.

通常，这种情况可能是容器本身的问题.

但是，查看容器日志时我没有收到任何错误消息，并且容器映像已在其他服务器上部署并稳定运行. 应该没有错误.

因此，猜测是系统资源不足，例如磁盘，内存，CPU.

检查磁盘的剩余容量还是比较大的，但是当使用top命令查看CPU和内存时，发现了一个例外: 一个进程的CPU使用率达到了99％.

当然，这种情况对于我们公司的服务器而言并不特别令人惊讶，因为我们通常在服务器上执行一些计算任务，并且使用大量CPU也很正常.

但是，由于除我之外，其他同事很少使用此服务器，并且看不到进程命令行，所以引起了我的怀疑.

验证-有一个以上的例外情况

采矿过程身份的识别

由于CPU使用率很高，我想到了最近流行的挖掘病毒.

使用netstat -anp命令检查该进程是否已建立外部网络连接.

果然入侵指定ip服务器，建立了指向IP地址5.196.26.96的连接. 查找IP地址并将其指向国外.

进一步验证我的猜测. 由于家用服务器具有严格的记录管理机制，因此许多攻击者会将服务器部署到国外.

要进一步确认，请转到威胁情报平台再次进行查询.

该平台还会发出威胁警告，可以大胆地假定这是一个挖掘过程.

当然，如果要进一步确认，可以将执行文件的md5值提取到相关网站上进行识别.

采矿程序来自哪里？

挖掘程序通常由木马下载并执行入侵指定ip服务器，因此请使用history命令检查下载行为.

未找到可疑下载. 黑客很可能清除了操作记录或通过其他渠道下载了

.

为了进一步排除可能有其他病毒程序作为守护程序定期启动或在启动时启动挖掘过程，请检查crontab配置信息.

未找到新添加的可疑文件，因此黑客不应该设置计划任务.

同时，没有可疑的启动配置.

可疑图片和容器

在此步骤中，线程被中断. 我只能换个角度思考〜

根据管理员的说法，该服务器很少使用，并且使用了强密码，因此密码泄漏的可能性很小.

结合我部署的容器的停止时间，应该是在部署完成后的几个小时内服务器被黑了.

所以我怀疑这可能与我的有关.

当我使用docker命令进行搜索时，发现了一种新情况.

某些容器使用未知图片（heybb / theimg2）或非官方图片（zoolu / ubuntu）.

在docker hub上搜索这些映像后，未找到Dockerfile和自述文件之类的说明. 而且上传时间很新，但是下载量却迅速增长.

这很奇怪. 这种没有描述且名称非常陌生的图像将被多次下载，因此可以推断出它是黑客上传的带有木马的镜像.

然后使用docker inspect命令查看这些容器，并通过挂载目录发现该容器未写入系统文件，而是将执行mac.sh脚本文件.

使用cat命令查看文件，只有一行命令

很明显，这是为门罗币而挖的.

摘要

现在发现，有多个黑客入侵了服务器，一些黑客部署了挖掘容器，一些黑客部署了挖掘进程并删除了记录.

治疗-清除过程并缩小漏洞

当然，第一个任务是清除挖掘过程和容器以及相应的执行文件和镜像.

当然，这只是治疗症状的方法.

要从根本上解决问题，需要进行可追溯性分析，以防止服务器再次被黑客入侵.

结合以上线索和个人经验分析，可以利用Docker的漏洞进行入侵.

部署容器时，我启动了Docker远程API服务. 此服务可能已公开到公共网络. 立即在浏览器中输入服务器IP地址和对应的端口，即可访问！

原始服务器操作员未提供默认的防火墙服务，并且计算机上的端口直接暴露在公用网络上.

基本上可以猜出黑客入侵的路径. 通过Docker远程API服务器操作容器，并将具有挖掘过程的容器部署到服务器.

或通过目录安装将挖掘程序复制到服务器，以某种方式触发并执行它.

修复此漏洞并停止外部曝光服务也非常简单.

建议

网络安全实际上是一个非常重要的问题，但开发人员通常对此缺乏足够的重视.

对于此事件，我总结了几种经验:

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/ruanjian/article-238607-1.html