Docker
docker镜像中存在kdevtmpfsi挖矿程序解决方法
docker镜像中存在kdevtmpfsi挖矿程序解决方法
昨天将服务器PHP环境切到docker后,今早就收到服务商信息提示,服务器发现病毒文件,今早直接登陆服务器查看,发现CPU占用100%,查看占用最高的进程是kdevtmpfsi,网上搜索了下,好家伙,原来是挖矿程序,下面分享如何解决该病毒。
我们先输入以下命令查看病毒文件地址
find / -name "kdevtmpfsi" find / -name "kinsing"
根据服务商提醒病毒文件所在地址为/tmp/kdevtmpfsi,但是我在服务器并没有查到该文件,然后联想到昨天刚好加了一个PHP容器,怀疑是不是病毒文件被植入到容器里,然后输出以下命令查看
docker stats
发现PHP容器占用CPU资源一直100%,确定是PHP容器被植入挖矿脚本,进入到容器里,发现果然存在/tmp/kdevtmpfsi文件,所以决定删除容器,重新构建镜像,重新拉取容器,同时我们输入以下命令
find / -name kdevtmpfsi
查看宿主机是否存在病毒文件,搜索得到以下结果
/var/lib/docker/overlay2/6fd30d3dc2b89a20a8c78d3ae2739cadc9083c48cb8505c1a0646dddf96b3f07/diff/tmp/kdevtmpfsi /var/lib/docker/overlay2/6fd30d3dc2b89a20a8c78d3ae2739cadc9083c48cb8505c1a0646dddf96b3f07/merged/tmp/kdevtmpfsi
我们直接使用rm命令删除这两份文件,然后为了防止再次被植入挖坑,建议关闭9000端口,不要将9000端口暴露外网,服务器内部可以使用内网ip进行连接php,重新查看服务器CPU占用,发现恢复正常,这样就成功将挖坑程序移除。
0条评论