在我的测试服务器上,我有 docker-run gitlab-ce、redis 服务器和其他一些重要服务,我注意到有一位不速之客,韋夫特姆夫西。我尝试了社区提出的所有方法,但我发现这个方法很有智慧。
我在不存在的用户下运行一些进程,它由GitLab-+但我终止了与该用户相关的所有进程。现在,我看到了不同的行为。它在一些带有编号的用户下运行一些进程,998,997,996, ETC。
他们运行的所有命令都不存在于我的机器上。我没有本地 postgres、redis-server、gitlab-exporter 等。
28741 999 20 0 2873420 2.289g 0 S 331.8 29.4 1:31.19 kdevtmpfsi
有人可以帮忙吗?
答案1
这里发生了两件事:
- 确实有一个矿工正在运行。谷歌搜索
kdevtmpfsi
会得到很多结果。 - 这很可能是在容器内部发生的,因此数字 UID 和文件在主机上不存在都是正常的。
因此,其中一个容器可能被入侵了。至于它们是否能逃脱,则不得而知。
我敢打赌“不会”,因为这需要额外的努力,也更容易被发现(容器主机比容器的安全性要好得多),而且给他们带来的收益并不多——这是一个发射后不管的矿机,他们不会再联系它,当它关闭时,损失也不大。
但是,你还是不能确定,所以正确而勤勉的做法是从轨道上用核武器轰炸该地点。