文章目录
- 场景
- 一、问题
- 二、原因
- 三、解决方案
- 1、控制台处理
- 2、 [清除与防护](https://blog.csdn.net/ladymorgana/article/details/148921668?spm=1001.2014.3001.5501)
- 1. 紧急处理:停止挖矿进程
- 2. 清理被感染的容器
- 3. 防护措施:防止再次被入侵
- 4. 排查入侵来源
- 四、实战
- Step 1:<font color="green">检查服务器是否被植入挖矿程序
- Step 2:<font color="green">删除被感染的文件
- Step 3:<font color="green">关闭docker api端口
- Step 4:<font color="green">改造容器:防止再次被入侵
- Step 5:<font color="green">删除感染容器和镜像后,重新创建容器
场景
- 服务器:阿里云
- 容器化平台:docker (docker-compose)
- 容器:spring boot 项目
一、问题
- 部署的业务卡顿,服务器CPU异常占用接近100%
二、原因
- 服务器被而且运行挖矿程序
三、解决方案
1、控制台处理
阿里云–控制台–云安全中心–检测响应–安全警告—找到恶意挖矿告警–处理–立即处理(不处理5天后服务器回关停)
2、 清除与防护
1. 紧急处理:停止挖矿进程
- 查找并终止
xmrig进程 - 删除恶意文件
2. 清理被感染的容器
- 停止并删除容器
- 检查镜像是否被污染
3. 防护措施:防止再次被入侵
- 使用最小化镜像
- 限制容器资源
- 禁止容器内运行可疑进程
- 监控容器行为
- 避免暴露 Docker API
4. 排查入侵来源
- 检查 Docker 日志
- 检查宿主机是否被入侵
- 检查 Dockerfile 是否被篡改
四、实战
Step 1:检查服务器是否被植入挖矿程序
ps aux | grep -E "xmrig|minerd|cpuminer|c3pool"
多行返回记录表示系统被感染,下图表示系统未被感染
Step 2:删除被感染的文件
find / -name "*xmrig*" -exec rm -rf {} \;
find / -name "*c3pool*" -exec rm -rf {} \;
Step 3:关闭docker api端口
- 这里作者只关闭了安全组里的2375和2376,有兴趣的小伙伴可以参考
【攻防篇】阿里云服务器中 如何关闭docker api端口
Step 4:改造容器:防止再次被入侵
- docker-copmose.yaml 中加入如下代码
cap_drop:- ALL # 移除所有 Linux Capabilitiesread_only: true # 只读文件系统tmpfs: # 仅允许临时目录写入- /tmpdeploy:resources:limits:cpus: '1' # 限制最多使用 1 个 CPU 核心memory: 10G # 限制内存为 10G
Step 5:删除感染容器和镜像后,重新创建容器
docker-compose --compatibility up -d --build
![[特殊字符] 分享裂变新姿势:用 UniApp + Vue3 玩转小程序页面分享跳转!](http://pic.xiahunao.cn/[特殊字符] 分享裂变新姿势:用 UniApp + Vue3 玩转小程序页面分享跳转!)
![[创业之路-458]:企业经营层 - 蓝海战略 - 重构价值曲线、整合产业要素、创造新需求](http://pic.xiahunao.cn/[创业之路-458]:企业经营层 - 蓝海战略 - 重构价值曲线、整合产业要素、创造新需求)
![[面试] 手写题-浅拷贝,深拷贝](http://pic.xiahunao.cn/[面试] 手写题-浅拷贝,深拷贝)
_Vue内置指令)