今天同事过来找到我说服务器被人挖矿了。。然后发截图给我看

6个redis

病毒

redis容器

这台机子因为是我自己的测试机子一般也没有在意，之前部署过rancher一些服务，
所以有redis我并没有觉得是从容器运行这个挖矿服务的
我先用指令top,查看挖矿服务的PID是多少,接着我通过已知PID查看该进程详细信息，发现是10月份就已经在运行了：
$top
$ll /proc/PID/exe

image.png

本来我以为是做的软链接目录结构，我通过查询这些目录发现并没有这些目录，
所以我确定是通过容器在运行该xmrig病毒，我也尝试用
$kill -9 PID   删除该线程，我发现会自动重启
所以基本上可以确定和我当初搭建rancher有关系，可能被破解了，
然后通过镜像运行该挖矿容器。我果断暂停所有容器服务，xmrig病毒就这样完了。
总结还是对外服务设置安全系数不够高，密码也过于简单。很容易拦截下来破解。服务器硬件防火墙还是起到作用了，遇到这种通过rancher破解登录的，还需要在做进一步加密。