早晨起来之后听到笔记本风扇的声音特别大,这说明电脑cpu正在疯狂的跑着什么程序,打开控制台,top命令看了下,有个异常程序dbused占用了将近200%的cpu使用率,不用想,肯定中病毒了。
一、问题排查
这让我想起了之前电脑中的病毒,那次中的病毒是redis容器引进来的,那次cpu直接全部打满了,这次不知道是不是它,使用命令find / -name "dbused"
全盘查找dbused程序的位置
发现这次中病毒还是docker容器引入的,从网上查了下,dbused这玩意还是挖矿程序,接下来得排查下这个overlay2是谁占用的
运行命令
docker ps -q | xargs docker inspect --format '{{.State.Pid}}, {{.Name}}, {{.GraphDriver.Data.WorkDir}}' | grep "a311a9faab90e6ad3693fdb15e8a5683c2e79207d5d842be8472c50a44f20c8e"
查找结果如下
可以看到,这次是confluence容器引入的。之前使用docker搭建了confluence,没想到竟然被塞了病毒。。。
二、问题解决
1.直接kill掉dbused进程
2.使用命令docker exec -it confluence /bin/bash
进入容器,到/tmp目录下查找问题进程
果然,发下了目标程序,在十月13日晚上被植入的,从时间上来看,bashirc和dbused文件是同一时间创建的,那就将其一起删除
bash-4.4# rm -rf dbused
bash-4.4# rm -rf bashirc
3.看看是不是有crontab定时任务
运行命令crontab -l
果然有定时任务在跑,删除所有定时任务
crontab -r
最后,检查下bashrc、profile等文件,如果没有异常,就没问题了。
20211015,今天早上起来发现dbused进程又起起来了,没得办法,删除了confluence容器,重建之后就好了。幸好数据进行了挂载,数据都没丢,大概这也是使用docker的好处之一吧
注意:本文归作者所有,未经作者允许,不得转载