Docker容器挖矿应急实例

01、概述很多开源组件封装成容器镜像进行容器化部署在提高应用部署效率和管理便捷性的同时，也带来了一些安全挑战。一旦开源系统出现安全漏洞，基于资产测绘就很容易关联到开源组件，可能导致被批量利用。在本文中，我们将分享一个真实的Docker容器应急实例，涉及到基于开源组件漏洞披露的前后时间段内，容器遭遇挖矿程序植入的情况。我们将深入分析排查过程，还原入侵的步骤和手段，帮助读者了解应对挖矿程序入侵的实际应急操作。02、分析排查（1）使用top命令查看，发现kdevtmpfsi进程异常，CPU占用率199%。（2）通过进程PID和USER查看进程信息，通过进程链定位到进程所在容器的进程PID。（3）通过进程PID查找对应容器名称，容器名：metabase。（4）使用docker top 查看容器中的进程信息，找到到容器内异常进程。如下图：异常进程kdevtmpfsi（ ………………………………