开发者社区> 问答> 正文

安全组内所有服务器感染挖矿病毒

1.三台服务器运行CNETOS7,位于同一安全组

2.其中一台上面只安装了DOCKER容器。

3.DOCKER容器运行NGINX,映射端口为80,443.网络为 HOST,未隔离

4.此三台病毒昨天收到安全警报,提供有挖矿病毒/home/trace

5.杀进程,删除.停掉定时任务.过段时间,此病毒又会出现在同一位置,并且把CPU占用到200-400%(运行top命令可看到)

####三台服务器,一台直接运行的apache+php,此机器上病毒的所有者也是apache.另一台运行的也是apache,但没有PHP,另外还有一个NGINX+PHP容器运行在8000口,未开放外网,此机器上病毒的所有者为1000

第三台机器仅运行DOCKER容器,NGINX+PHP,此机器上病毒所有者为了1000。

我的问题是:就算我安全没做好,那么病毒是怎么从DOCKER中进入宿主机的呢?

而且这病毒,一启动启动时长就自动为数百个小时,而我查看云服务器监控,肯定是昨天才出现的。 我停掉了CROND服务,这病毒还是会出现,目前无法根除。

另外同安全组下还有两台WINDOWS服务器,虽然也提示风险,并没有被感染。

望哪位朋友遇到此种情况,指点一个解决方案或提供解决思路,不胜感激。

展开
收起
1200256405864909 2019-12-14 13:47:12 1294 0
1 条回答
写回答
取消 提交回答
  • 精于基础,广于工具,熟于业务。

    重装系统,然后做一个访问白名单,只允许特定IP地址访问。

    2019-12-16 14:22:47
    赞同 展开评论 打赏
问答排行榜
最热
最新

相关电子书

更多
如何运维千台以上游戏云服务器 立即下载
网站/服务器取证 实践与挑战 立即下载
ECS计算与存储分离架构实践 立即下载