由於發現主機CPU時常高達400%.. 所以用先檢查一下 top => press c 或是直接 ps aux | grep redis2 發現是一隻 ./redis2 的程式 ./redis2 --donate-level 1 -o ve01.kieuanilam.me:5555 -u tt2re -p tt2re -k -B 大概追查了一下 這個形式蠻像是門羅幣挖礦在用的格式 後來去看一下相關的文章基本上可以肯定就是在挖門羅幣了 https://blog.csdn.net/qq_39919755/article/details/90258890 https://blog.csdn.net/m0_37847558/article/details/93074293 https://kknews.cc/zh-tw/tech/kbmmx98.html 後來直接使用 kill {pid} -9 直接停止 但發現變成了 zombie process (ref: https://yq.aliyun.com/articles/34967 ) 但沒幾天又被打開挖礦程式,後來使用 find / -name redis2 發現檔案是在 redis 的 container 進去 redis 的 container 看了一下 發現裡面的 authorized_keys 內有個不知名的 key 感覺就是這個了 看起來攻擊手法是透過 redis container 去挖礦 後來改成直接在 local 安裝 redis-server 因為 docker 會讓防火牆設定直接無效 除非特別針對 DOCKER 或是 DOCKER-USER 這個角色去設定 (ref: https://docs.docker.com/network/iptables/ ) 中間跑去檢查 /etc/passwd 有沒有多可疑用戶 跑去目前所有既有的用戶去看有沒有被新增奇怪的 ssh key 還好最後有找到!