最近用阿里云服务器部署 web 服务。同事配置 docker 时开放了 docker remote 端口 2375,这个端口可以远程上传 docker 镜像,发送 docker 指令。在本地部署时较方便,但在公网环境下部署,容易被黑客攻击。
相关文章参考:
阿里云告警信息:
访问恶意域名、矿池通信行为、主动连接恶意下载源等。
告警出现后,首先排除了团队使用云服务器挖矿的可能。考虑应该是被恶意攻击了。
告警中提到了 2375 端口:
web 攻击来自法国的 ip 地址:
首先使用服务器安全组禁用云服务器的 2375 端口。
使用 htop 查看系统进程,发现 cpu 被/var/tmp/sic/sic 这个命令占满。
/var 这个目录通常是用来放 docker 镜像的。因此应该是 docker 出了问题。
先在 htop 界面按 F9 杀掉/var/tmp/sic/sic 这个进程。
再到/var/tmp/目录下删掉所有 sic 文件夹。
删除这两个文件之后,问题临时解决了。但过一段时间又出现了这几个文件。阿里云又持续报警,CPU 占满。
查了相关资料,有可能是 crontab 中写入了定时程序:
记一次两台服务器同时被挖矿的过程
因为是新部署的服务器,之前没有配置 crontab,所以忽略了检查这个服务。
使用 crontab -l 查看正在运行的定时服务。
这两组 crontab 定时任务将每小时从 ix.io 下载脚本并执行。本地将 ix.io 的 ip 地址查到,考虑禁止访问这两个 ip 地址。
ix.io 脚本内容:
封禁 ip 地址:
经过以上处理后,该挖矿漏洞被补上了。观察一天之后,恶意程序没有再启动。cpu 运行正常。
欢迎来到这里!
我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。
注册 关于