云服务器 ix.io 恶意挖矿漏洞修复

本贴最后更新于 237 天前,其中的信息可能已经沧海桑田

最近用阿里云服务器部署 Web 服务。同事配置 docker 时开放了 docker remote 端口 2375,这个端口可以远程上传 docker 镜像,发送 docker 指令。在本地部署时较方便,但在公网环境下部署,容易被黑客攻击。

相关文章参考:

Docker 出漏洞:端口 2375【附案例】

阿里云告警信息:
访问恶意域名、矿池通信行为、主动连接恶意下载源等。

告警出现后,首先排除了团队使用云服务器挖矿的可能。考虑应该是被恶意攻击了。
noteattach1.jpeg

告警中提到了 2375 端口:
124.jpg

Web 攻击来自法国的 ip 地址:
123.jpg

首先使用服务器安全组禁用云服务器的 2375 端口。
125.jpg

使用 htop 查看系统进程,发现 CPU 被/var/tmp/sic/sic 这个命令占满。
/var 这个目录通常是用来放 docker 镜像的。因此应该是 docker 出了问题。

noteattach3.png

先在 htop 界面按 F9 杀掉/var/tmp/sic/sic 这个进程。
再到/var/tmp/目录下删掉所有 sic 文件夹。

删除这两个文件之后,问题临时解决了。但过一段时间又出现了这几个文件。阿里云又持续报警,CPU 占满。
noteattach.jpeg

查了相关资料,有可能是 crontab 中写入了定时程序:
记一次两台服务器同时被挖矿的过程

因为是新部署的服务器,之前没有配置 crontab,所以忽略了检查这个服务。
使用 crontab -l 查看正在运行的定时服务。
noteattach1.png

这两组 crontab 定时任务将每小时从 ix.io 下载脚本并执行。本地将 ix.io 的 ip 地址查到,考虑禁止访问这两个 ip 地址。
noteattach2.png

ix.io 脚本内容:
noteattach.png

封禁 ip 地址:
126.jpg

经过以上处理后,该挖矿漏洞被补上了。观察一天之后,恶意程序没有再启动。CPU 运行正常。

  • 阿里云

    阿里云是阿里巴巴集团旗下公司,是全球领先的云计算及人工智能科技公司。提供云服务器、云数据库、云安全等云计算服务,以及大数据、人工智能服务、精准定制基于场景的行业解决方案。

    80 引用 • 331 回帖
  • 挖矿
    11 引用 • 59 回帖
  • ix.io
    1 引用
  • 漏洞
    10 引用 • 27 回帖 • 1 关注

赞助商 我要投放

欢迎来到这里!

我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。

注册 关于
请输入回帖内容 ...