事情是这样的,今天SSH上我的家庭服务器,上来就不对劲,温度直接干到60度,平时都是30度左右
TOP查看一下发现syst3md这个进程CPU占用直接来到400%(逆天)
刚开始不知道啥东西,然后搜了一下,极大可能是挖矿病毒,现在先把这个进程干掉
kill -9 3128463然后 find / -name syst3md来找找这个文件的位置,还真找到了,是docker容器里的
然后我现在 ps aux | grep syst3md 查看这个进程,kill后现在是个僵尸进程
接下来就很明显了,通过这个僵尸进程找到父进程,通过 ps -o ppid= -p 3128440 会显示它的父进程PID
好家伙,找到病毒文件了,现在直接 kill -9 3128435 干掉它,然后把 /tmp/.ICE-Temp 文件删掉;现在3128435的爸爸是PPID 1703,通过ps -fp 1703 看看是什么东西
这玩意不认识,搜了一下,说是一个在Docker容器中广泛使用的、轻量级的进程管理工具,用来启动和监控容器内的多个服务。
现在找到问题了,是容器里植入了恶意脚本…,我容器也不多,一个一个进入容器去tmp目录下找.ICE-Temp这个玩意,最终在code-server容器找到了
好吧,直接停掉,删除容器和镜像,拜拜 code-server
最后
很可能是我的code-server 网页端的密码被知道了,进入vscode在终端给我下的毒,幸好不是什么很变态的病毒,不然真不知道咋办