我在本地硬件上使用 VMware ESXI 6.7 运行 CI 服务器。它有三台主机,分别运行 Linux、Windows 和 MacOS。Linux 主机运行 Jenkins 实例。我最近注意到我们的构建时间比平时长得多。经调查,Linux 主机上似乎有一个名为 kintegrityds 的进程,它使用了 100% 的可用(虚拟)CPU 内核。它以 jenkins 用户身份运行。终止它似乎不会造成任何不良影响,但它会在下次构建时或有时在服务器空闲时再次出现。
磁盘故障?这是突然发生的,配置没有任何变化。
答案1
今天早上一直在努力解决这个问题,并通过谷歌搜索发现了这一点:
https://www.anomali.com/blog/rocke-evolves-its-arsenal-with-a-new-malware-family-written-in-golang
似乎你可以通过那里的描述对感染进行逆向工程。根据文章,应该有一个 cron 来保持这种情况再次发生。chattr -i用于保护感染的文件、/etc/ld.so.preload被修改的文件等。当我成功清理完这些垃圾后会报告。
答案2
我可以确认 @rutgoff 的回答。这是一种恶意软件。
我们今天在 jenkins 实例中发现了它,它运行了昨天的 minero 挖矿程序(在我们的例子中)。
幸运的是,我们在 docker 容器中使用 jenkins,因此我们删除了该容器并启动了一个新容器。