一次挖矿排查

昨天生病了去看医生 收到腾讯云通知 由于这个机器不只是我一个人在用偶尔可能会访问矿池的域名就没在意

垃圾腾讯云什么提示都没有

今天看日志的时候发现矿池域名解析失败了

定位异常进程

使用sysdig排查异常进程

sysdig | grep mine.c3pool.com

机器上开的几个服务都在docker上 所有先看看这个进程是不是在容器里

对比进程ns id 与self主机ns id 发现应该不同的应该是在容器里的

定位容器

随便选择一个与主机ns不同的 这里我选了pid ns

获取所有容器的 pid ns id

# 获取所有正在运行的容器的名称和 PID 命名空间 ID
for container in $(docker ps --format '{{.Names}}'); do
  pid=$(docker inspect --format '{{.State.Pid}}' $container)
  echo "Container Name: $container, PID NS: $(readlink /proc/$pid/ns/pid | cut -d'/' -f3)"
done

定位到容器

定位弱点

这个是langfuse的PG数据库是最近安装的，我安装的时候使用了官方文档指南 看了下 postgres:postgres 映射到主机端口 他怎么敢的呀 离谱

定位恶意程序

使用 pstree 查看进程树

postmaster → cpu_hu → 4

找到cpu_hu的pid

可以看到 cpu_hu 在/var/lib/postgresql/data/pg_notify目录中

查看执行命令

还有个子进程4

这个进程是无文件的 文件目录是/proc/62556/fd 执行文件是/proc/62556/fd/4 这个是进程62556的4号文件描述符

这里这个进程pid是容器命名空间的我们进到容器中 找到这个进程就是父进程

取到恶意程序cpu_hu

恶意程序分析

暂时不会先上VT

Reporter:

[mine.c3pool.com](http://mine.c3pool.com/)

Samples:

9e334957bb50503116ad8e651326712f2716c70f595436d5f40104959717a8a7

版权信息

本文原载于 not only security，复制请保留原文出处。