首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >与挖矿斗争的日子,我连 Docker 都删了

与挖矿斗争的日子,我连 Docker 都删了

作者头像
猿芯
发布2020-07-06 18:04:35
6960
发布2020-07-06 18:04:35
举报

黑心的挖矿攻击者

前段时间,笔者想用在腾讯云购买的 2C4G 服务器捣鼓一些技术,在安装好 docker、mysql 后,结果 mysql 中的数据库表被删除了,只留下一张 warning 表,根据 “Bitcoin_Address” 字段提示,猜测应该是黑心的挖矿攻击者。

接着检查了服务器 CPU 的使用情况,未发现有挖矿程序在运行,CPU 使用率只有 5% 左右。当时笔者存在侥幸的心理,觉得 2C4G 的服务器配置应该不太适合挖矿,库表也都是一些测试数据,以后应该不会留意我这个小庙吧?况且如果是勒索,怎么不留下打款的账号信息呢?

之后几天也就没怎么在意这个问题,可是接下来接连出现两次删库表的情况,就有点不能忍了。

我的反击

在咨询同行 Owen 之后,估测是 docker 致命漏洞所致,这里有篇 docker 漏洞文章《Docker 发现致命的安全漏洞》,大家可以阅读下,传送门:

https://baijiahao.baidu.com/s?id=1628962784474508832&wfr=spider&for=pc

根据 seclists 所说:

安全漏洞:RunC容器突破,CVE-2019-5736,针对runc,Docker和Kubernetes的容器运行时的缺陷,发现了一个安全漏洞,该漏洞可用于攻击运行容器的任何主机系统。 Runc的安全研究人员Adam Iwaniuk和Borys Popawski发现了这一致命漏洞: “允许恶意容器覆盖主机runc二进制,从而获得根主机上的级别代码执行。用户交互的级别是能够以root身份运行任何命令。“ 为此,攻击者必须在系统中放置恶意容器。但是,这并不困难。懒惰的系统管理员经常使用手上的第一个容器,而从不检查该容器中的软件是不是安全的。 这很危险,一旦攻击者掌握了root权限,操作系统的生杀大权将会全部掌控在攻击者手上。

红帽 Docker 技术产品经理 Scott McCarty 警告说:

“runc和docker中的安全漏洞(CVE-2019-5736)的披露说明了许多IT管理员的糟糕情况。容器代表向共享系统的转变,其中来自许多不同用户的应用程序都在同一Linux主机上运行。利用此漏洞意味着恶意代码可能会破坏遏制,不仅会影响单个容器,还会影响整个容器主机,最终会破坏其上运行的数百到数千个其他容器。虽然很少有事件可以作为企业IT的世界末日场景,但是影响各种互连生产系统的级联漏洞集合才有资格......而这正是这个漏洞所代表的。“

于是笔者果断开始了短暂的挖矿斗争之役。

第一步、删 docker 容器

用 service 命令关闭 docker 容器实例。

service docker stop

查看已安装的 docker 镜像

yum list installed|grep docker     

删除 docker-ce 镜像

yum remove docker-ce
rm -rf /var/lib/docker
yum remove docker-ce-cli.x86_64
yum remove containerd.io.x86_64

验证 docker 是否删除干净

至此,docker 删除干净了

第二步、 修改 mysql 数据库端口

用 mysql 命令登录数据库后台:

mysql -u root -p  

使用命令 show global variables like 'port',查看默认端口号为 3306

用 vi 命令修改 mysql 的 /etc/my.cnf 文件,把端口 3306 改成其他不占用的端口。

vi /etc/my.cnf

重启 mysql

etc/init.d/mysqld restart
或者
service mysql restart

最后,把一些 mysql 库表及数据用 mysqldump 命令做了备份。

写到最后

root 账户提供对外访问权限,最好把 host 设置成 localhost 权限

update user host='localhost' where user='root'

本文参与 腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2020-03-05,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 架构荟萃 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 前段时间,笔者想用在腾讯云购买的 2C4G 服务器捣鼓一些技术,在安装好 docker、mysql 后,结果 mysql 中的数据库表被删除了,只留下一张 warning 表,根据 “Bitcoin_Address” 字段提示,猜测应该是黑心的挖矿攻击者。
  • 在咨询同行 Owen 之后,估测是 docker 致命漏洞所致,这里有篇 docker 漏洞文章《Docker 发现致命的安全漏洞》,大家可以阅读下,传送门:
相关产品与服务
云数据库 SQL Server
腾讯云数据库 SQL Server (TencentDB for SQL Server)是业界最常用的商用数据库之一,对基于 Windows 架构的应用程序具有完美的支持。TencentDB for SQL Server 拥有微软正版授权,可持续为用户提供最新的功能,避免未授权使用软件的风险。具有即开即用、稳定可靠、安全运行、弹性扩缩等特点。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档