k8s 被人埋了挖矿脚本

2019-08-03 08:10:29 +08:00

snappyone

某一个 node 节点 cpu 一只负载为 100%，登陆后发现是中了挖矿病毒，但是想搞清楚为何会被黑

该 node 是 nat 局域网下的一个虚拟机，上面部署了一个 pod，并且该 pod 使用 nodeport 暴露一个端口对局域网可以访问。然后最外层宿主机通过 nginx 代理这个 nodeport 去对公网暴露服务，想不通这种情况是怎么被人黑掉的

5544 次点击

所在节点

程序员

16 条回复

xml123

2019-08-03 08:38:07 +08:00

有可能是你运行的某个“一键 xx 脚本”导致的

zhangkc

2019-08-03 09:26:21 +08:00

正常很难破解

ysicing

2019-08-03 10:20:14 +08:00

不一定是这个 node 节点问题吧，可能是 API 被黑了

RIcter

2019-08-03 10:22:28 +08:00

你 k8s 10250 端口开在外面了吧

opengps

2019-08-03 10:31:05 +08:00

可能的黑入途径有点多，我被黑一次是上传入口类型检测不当导致的

0312birdzhang

2019-08-03 10:35:12 +08:00

runc 漏洞修了吗？

shukai

2019-08-03 10:38:09 +08:00

我曾经服务器也被植入了挖矿

snappyone

2019-08-03 10:53:50 +08:00

@xml123 这个肯定没有，干净的系统加自己打包的应用镜像

snappyone

2019-08-03 10:54:01 +08:00

@0312birdzhang 这个我去看看，谢谢

snappyone

2019-08-03 10:54:28 +08:00

@ysicing 你说的是应用的 api 吗，就一个 springboot 应用，应该不会啊

snappyone

2019-08-03 10:54:55 +08:00

@RIcter k8s 的 master 跟 node 都是内网节点，应该没暴露出去

tqyq88

2019-08-03 11:17:44 +08:00

我觉得最大的可能是你安装使用的第三方源有毒

py2ex

2019-08-03 14:38:49 +08:00

同意第三方源投毒的可能性。
注意不要关掉 GPG

BIAOXYZ

2019-08-03 15:15:50 +08:00

感觉不大可能是恶意第三方源。。。我觉得大概率还是 10250 端口的问题。

HangoX

2019-08-03 19:52:59 +08:00

其实你确定你局域网下就不会被黑吗？局域网下有没有机器在扫描端口？我觉得就是局域网下有机器中毒了，然后你的登录信息比较弱，然后就被黑了

coolloves

2019-08-03 22:18:29 +08:00

关注

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/588697

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.