Docker的redis容器导致被挖矿病毒*kdevtmpfsi * 入侵， 干它 | 鳗鱼是条狗 | KingGoo | KingGoo技术博客

以下内容全凭记忆。 研发的一台docker创建了redis容器，直接设置无密访问导致被入侵。 在母机上查询一下，其实第一个就可以了，第二个很多人搜索不到。 [root@devtest tmp]# find / -name "*kdevtmpfsi*" /var/lib/docker/overlay2/0cf543cd0ddd70e9e68333057aefa1ca0c1864e5214630b4dd2f406a97b1a0e1/diff/tmp/kdevtmpfsi /var/lib/docker/overlay2/0cf543cd0ddd70e9e68333057aefa1ca0c1864e5214630b4dd2f406a97b1a0e1/merged/tmp/kdevtmpfsi [root@devtest tmp]# find / -name kinsing /var/lib/docker/overlay2/0cf543cd0ddd70e9e68333057aefa1ca0c1864e5214630b4dd2f406a97b1a0e1/diff/tmp/kinsing /var/lib/docker/overlay2/0cf543cd0ddd70e9e68333057aefa1ca0c1864e5214630b4dd2f406a97b1a0e1/merged/tmp/kinsing 然后进入到redis的容器内，通过查找发现在容器的tmp和data目录下有两个可以文件 一个是sh，里面内容是curl从网上下载，另外一个忘记是啥文件了。。。。实在记不住了，总是一定是两个文件。 找到这几个问题后，将这几个文件删除掉，并且结束相对应的进程（通过进程ID发现是php的启动程序。。。还是5.4的）。 反正上面的方式多执行几遍。 然后可以试试 https://kinggoo.com/safe-clamav.htm ，通过clamav去查查看。