V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
snappyone
V2EX  ›  程序员

k8s 被人埋了挖矿脚本

  •  
  •   snappyone · 2019-08-03 08:10:29 +08:00 · 5555 次点击
    这是一个创建于 1944 天前的主题,其中的信息可能已经有所发展或是发生改变。

    某一个 node 节点 cpu 一只负载为 100%,登陆后发现是中了挖矿病毒,但是想搞清楚为何会被黑

    该 node 是 nat 局域网下的一个虚拟机,上面部署了一个 pod,并且该 pod 使用 nodeport 暴露一个端口对局域网可以访问。然后最外层宿主机通过 nginx 代理这个 nodeport 去对公网暴露服务,想不通这种情况是怎么被人黑掉的

    16 条回复    2019-08-03 22:18:29 +08:00
    xml123
        1
    xml123  
       2019-08-03 08:38:07 +08:00   ❤️ 2
    有可能是你运行的某个“一键 xx 脚本”导致的
    zhangkc
        2
    zhangkc  
       2019-08-03 09:26:21 +08:00 via iPhone
    正常很难破解
    ysicing
        3
    ysicing  
       2019-08-03 10:20:14 +08:00 via Android
    不一定是这个 node 节点问题吧,可能是 API 被黑了
    RIcter
        4
    RIcter  
       2019-08-03 10:22:28 +08:00
    你 k8s 10250 端口开在外面了吧
    opengps
        5
    opengps  
       2019-08-03 10:31:05 +08:00 via Android
    可能的黑入途径有点多,我被黑一次是上传入口类型检测不当导致的
    0312birdzhang
        6
    0312birdzhang  
       2019-08-03 10:35:12 +08:00
    runc 漏洞修了吗?
    shukai
        7
    shukai  
       2019-08-03 10:38:09 +08:00
    我曾经服务器也被植入了挖矿
    snappyone
        8
    snappyone  
    OP
       2019-08-03 10:53:50 +08:00 via Android
    @xml123 这个肯定没有,干净的系统加自己打包的应用镜像
    snappyone
        9
    snappyone  
    OP
       2019-08-03 10:54:01 +08:00 via Android
    @0312birdzhang 这个我去看看,谢谢
    snappyone
        10
    snappyone  
    OP
       2019-08-03 10:54:28 +08:00 via Android
    @ysicing 你说的是应用的 api 吗,就一个 springboot 应用,应该不会啊
    snappyone
        11
    snappyone  
    OP
       2019-08-03 10:54:55 +08:00 via Android
    @RIcter k8s 的 master 跟 node 都是内网节点,应该没暴露出去
    tqyq88
        12
    tqyq88  
       2019-08-03 11:17:44 +08:00
    我觉得最大的可能是你安装使用的第三方源有毒
    py2ex
        13
    py2ex  
       2019-08-03 14:38:49 +08:00
    同意第三方源投毒的可能性。
    注意不要关掉 GPG
    BIAOXYZ
        14
    BIAOXYZ  
       2019-08-03 15:15:50 +08:00
    感觉不大可能是恶意第三方源。。。我觉得大概率还是 10250 端口的问题。
    HangoX
        15
    HangoX  
       2019-08-03 19:52:59 +08:00
    其实你确定你局域网下就不会被黑吗?局域网下有没有机器在扫描端口?我觉得就是局域网下有机器中毒了,然后你的登录信息比较弱,然后就被黑了
    coolloves
        16
    coolloves  
       2019-08-03 22:18:29 +08:00 via iPhone
    关注
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1833 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 16:30 · PVG 00:30 · LAX 08:30 · JFK 11:30
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.