Docker的redis容器导致被挖矿病毒*kdevtmpfsi * 入侵, 干它

以下内容全凭记忆。

研发的一台docker创建了redis容器,直接设置无密访问导致被入侵。

在母机上查询一下,其实第一个就可以了,第二个很多人搜索不到。

[root@devtest tmp]# find / -name "*kdevtmpfsi*"
/var/lib/docker/overlay2/0cf543cd0ddd70e9e68333057aefa1ca0c1864e5214630b4dd2f406a97b1a0e1/diff/tmp/kdevtmpfsi
/var/lib/docker/overlay2/0cf543cd0ddd70e9e68333057aefa1ca0c1864e5214630b4dd2f406a97b1a0e1/merged/tmp/kdevtmpfsi
[root@devtest tmp]# find / -name kinsing
/var/lib/docker/overlay2/0cf543cd0ddd70e9e68333057aefa1ca0c1864e5214630b4dd2f406a97b1a0e1/diff/tmp/kinsing
/var/lib/docker/overlay2/0cf543cd0ddd70e9e68333057aefa1ca0c1864e5214630b4dd2f406a97b1a0e1/merged/tmp/kinsing

然后进入到redis的容器内,通过查找发现在容器的tmp和data目录下有两个可以文件 一个是sh,里面内容是curl从网上下载,另外一个忘记是啥文件了。。。。实在记不住了,总是一定是两个文件。

找到这几个问题后,将这几个文件删除掉,并且结束相对应的进程(通过进程ID发现是php的启动程序。。。还是5.4的)。

反正上面的方式多执行几遍。

然后可以试试 https://kinggoo.com/safe-clamav.htm ,通过clamav去查查看。

- THE END -
版权声明:
转载原创文章请注明,文章出处://kinggoo.com
原文地址:https://kinggoo.com/safe-dockerredis-kdevtmpfsi.htm
发表评论?

0 条评论。

发表评论


此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据