做最好的网站新新,宁波镇海区优秀全网seo优化,如何注册网站域名备案,如何做商业网站推广前言 测试环境上的中间件和java应用都是由docker进行部署的,但是因为docker的镜像访问有时候需要外网,由此引发了问题,在docker文件中 /usr/lib/systemd/system/docker.service 原有的配置为,可以看到进行了加密 ExecStart/usr/bin/dockerd --tlsverify --tlscacert/etc/docker…前言 测试环境上的中间件和java应用都是由docker进行部署的,但是因为docker的镜像访问有时候需要外网,由此引发了问题,在docker文件中 /usr/lib/systemd/system/docker.service 原有的配置为,可以看到进行了加密 ExecStart/usr/bin/dockerd --tlsverify --tlscacert/etc/docker/ca.pem --tlscert/etc/docker/server-cert.pem --tlskey/etc/docker/server-key.pem -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock 修改配置为: ExecStart/usr/bin/dockerd -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock --registry-mirrorhttps://f2kob4mc.mirror.aliyuncs.com 就因为以上的修改了,导致了服务器中了病毒,收到的告警信息如下
具体信息
1. 告警信息
测试和构建服务器/10.19.16.123[{instanceIdi-wz9ddqdfdsfdsfsdfdfdfpz9, userId22132311}] (ECS)同时连接数最大值3000个 当前值: 48603个 告警规则同时连接数 请登录云监控查看
2. 服务器推送 3. ECS访问数量图 综上所述, 问题出现在了ecs连接数过高上引起的问题
解决 参考文章:
Linux中招挖矿木马如何处置附带解决方案_linux.risktool.bitcoinminer.msmw-CSDN博客
阿里云服务器被pnscan挖矿病毒入侵如何解决-CSDN博客
systemd占用大量 CPU 或内存资源_systemd-journal cpu占满-CSDN博客
Docker 恶意挖矿镜像应急实例-腾讯云开发者社区-腾讯云
核心步骤
1. 查看 /etc/ld.so.preload 文件发现有异常的文件配置如下 根据文章描述是把真实的top进行了隐藏因此我们需要把这几个文件进行删除
2. 然后再进行top就可以看到臭名昭著的 pnscan (挖矿进程)把进程停掉然后相关的信息也删除看看/etc/crontab有没有定时任务有也删掉以及看看在 /etc/systemd/system文件夹中有没有可疑的文件重要有也删掉
3. 当进行了2步操作后ECS的访问数就瞬间下来了但是出现了一个systemd-journald占用进程资料上说这是系统自带的目前怀疑是因为删掉了挖矿的脚本后导致找不到文件一直报错
4. 对系统进行重启或者解决systemd-journald高占用问题最终恢复了正常
其他 重启后重新安装docker和docker-compose组件有可能是在删除挖矿脚本时删除了一些相关的文件
结语 在使用公网服务器时要注意安全问题以前比较常见的是redis不配置密码也会引起这种挖矿问题这次是docker没有配置密钥或者暴漏了以前病毒植入这方面的知识可以研究研究
