以下内容全凭记忆。
研发的一台docker创建了redis容器,直接设置无密访问导致被入侵。
在母机上查询一下,其实第一个就可以了,第二个很多人搜索不到。
[root@devtest tmp]# find / -name "*kdevtmpfsi*"
/var/lib/docker/overlay2/0cf543cd0ddd70e9e68333057aefa1ca0c1864e5214630b4dd2f406a97b1a0e1/diff/tmp/kdevtmpfsi
/var/lib/docker/overlay2/0cf543cd0ddd70e9e68333057aefa1ca0c1864e5214630b4dd2f406a97b1a0e1/merged/tmp/kdevtmpfsi
[root@devtest tmp]# find / -name kinsing
/var/lib/docker/overlay2/0cf543cd0ddd70e9e68333057aefa1ca0c1864e5214630b4dd2f406a97b1a0e1/diff/tmp/kinsing
/var/lib/docker/overlay2/0cf543cd0ddd70e9e68333057aefa1ca0c1864e5214630b4dd2f406a97b1a0e1/merged/tmp/kinsing
然后进入到redis的容器内,通过查找发现在容器的tmp和data目录下有两个可以文件 一个是sh,里面内容是curl从网上下载,另外一个忘记是啥文件了。。。。实在记不住了,总是一定是两个文件。
找到这几个问题后,将这几个文件删除掉,并且结束相对应的进程(通过进程ID发现是php的启动程序。。。还是5.4的)。
反正上面的方式多执行几遍。
然后可以试试 https://kinggoo.com/safe-clamav.htm ,通过clamav去查查看。
玩趣儿
时间,带不走真正的朋友;岁月,留不住虚幻的拥有
学习一下,大爱。