喜欢右上角点个关注吧。
黑心的挖矿攻击者
前段时间,笔者想用在腾讯云购买的 2C4G 服务器捣鼓一些技术,在安装好 docker、mysql 后,结果 mysql 中的数据库表被删除了,只留下一张 warning 表,根据 “Bitcoin_Address” 字段提示,猜测应该是黑心的挖矿攻击者。
接着检查了服务器 CPU 的使用情况,未发现有挖矿程序在运行,CPU 使用率只有 5% 左右。当时笔者存在侥幸的心理,觉得 2C4G 的服务器配置应该不太适合挖矿,库表也都是一些测试数据,以后应该不会留意我这个小庙吧?况且如是勒索,怎么不留下打款的账号信息呢?
之后几天也就没怎么在意这个问题,可是接下来接连出现两次删库表的情况,就有点不能忍了。
我的反击
在咨询同行 Owen 之后,估测是 docker 致命漏洞所致,这里有篇 docker 漏洞文章《Docker发现致命的安全漏洞》,大家可以阅读下,传送门:
https://baijiahao.baidu.com/s?id=1628962784474508832&wfr=spider&for=pc
根据 seclists 所说:
安全漏洞:RunC容器突破,CVE-2019-5736,针对runc,Docker和Kubernetes的容器运行时的缺陷,发现了一个安全漏洞,该漏洞可用于攻击运行容器的任何主机系统。
Runc的安全研究人员Adam Iwaniuk和Borys Popawski发现了这一致命漏洞:
“允许恶意容器覆盖主机runc二进制,从而获得根主机上的级别代码执行。用户交互的级别是能够以root身份运行任何命令。“
为此,攻击者必须在系统中放置恶意容器。但是,这并不困难。懒惰的系统管理员经常使用手上的第一个容器,而从不检查该容器中的软件是不是安全的。
这很危险,一旦攻击者掌握了root权限,操作系统的生杀大权将会全部掌控在攻击者手上。
红帽 Docker 技术产品经理 Scott McCarty 警告说:
“runc和docker中的安全漏洞(CVE-2019-5736)的披露说明了许多IT管理员的糟糕情况。容器代表向共享系统的转变,其中来自许多不同用户的应用程序都在同一Linux主机上运行。利用此漏洞意味着恶意代码可能会破坏遏制,不仅会影响单个容器,还会影响整个容器主机,最终会破坏其上运行的数百到数千个其他容器。虽然很少有事件可以作为企业IT的世界末日场景,但是影响各种互连生产系统的级联漏洞集合才有资格......而这正是这个漏洞所代表的。“
于是笔者果断开始了短暂的挖矿斗争之役。
第一步、删 docker 容器
用 service 命令关闭 docker 容器实例。
service docker stop
查看已安装的 docker 镜像
yum list installed|grep docker
删除 docker-ce 镜像
yum remove docker-ce
rm -rf /var/lib/docker
yum remove docker-ce-cli.x86_64
yum remove containerd.io.x86_64
验证 docker 是否删除干净
至此,docker 删除干净了
第二步、 修改 mysql 数据库端口
用 mysql 命令登录数据库后台:
mysql -u root -p
使用命令 show global variables like port ,查看默认端口号为 3306
用 vi 命令修改 mysql 的 /etc/my.cnf 文件,把端口 3306 改成其他不占用的端口。
vi /etc/my.cnf
重启 mysql
etc/init.d/mysqld restart
或者
service mysql restart
最后,把一些 mysql 库表及数据用 mysqldump 命令做了备份。
写到最后
花了一天时间终于弄好,经过一周的观察,没有再次出现删库的现象了。最后,笔者强烈建议不要对 root账户提供对外访问权限,最好把 host 设置成 localhost 权限
update user host= localhost where user= root
添加新手交流群:币种分析、每日早晚盘分析
添加助理微信,一对一亲自指导:YoYo8abc
