带有数字的可疑用户正在吞噬整个 CPU

带有数字的可疑用户正在吞噬整个 CPU

在我的测试服务器上,我有 docker-run gitlab-ce、redis 服务器和其他一些重要服务,我注意到有一位不速之客,韋夫特姆夫西。我尝试了社区提出的所有方法,但我发现这个方法很有智慧。

我在不存在的用户下运行一些进程,它由GitLab-+但我终止了与该用户相关的所有进程。现在,我看到了不同的行为。它在一些带有编号的用户下运行一些进程,998997996, ETC。

他们运行的所有命令都不存在于我的机器上。我没有本地 postgres、redis-server、gitlab-exporter 等。

28741 999       20   0 2873420 2.289g      0 S 331.8 29.4   1:31.19 kdevtmpfsi

有人可以帮忙吗?

答案1

这里发生了两件事:

  1. 确实有一个矿工正在运行。谷歌搜索kdevtmpfsi会得到很多结果。
  2. 这很可能是在容器内部发生的,因此数字 UID 和文件在主机上不存在都是正常的。

因此,其中一个容器可能被入侵了。至于它们是否能逃脱,则不得而知。

我敢打赌“不会”,因为这需要额外的努力,也更容易被发现(容器主机比容器的安全性要好得多),而且给他们带来的收益并不多——这是一个发射后不管的矿机,他们不会再联系它,当它关闭时,损失也不大。

但是,你还是不能确定,所以正确而勤勉的做法是从轨道上用核武器轰炸该地点。

相关内容