服务器(centos7)使用docker被病毒攻击,导致cpu100解决方案

其他 2020-05-28 11:45:09 阅读次数: 0

服务器(centos7)使用docker被病毒攻击,导致cpu100解决方案


这是我参考的文章:

https://blog.csdn.net/boling_cavalry/article/details/100601169
https://www.cnblogs.com/zhenglisai/p/8416353.html

使用top命令查看cpu一直是100,并且docker多出来了很多不为人知的镜像和容器

由于本人是第一次服务器遇到这种情况。所以请教了一个大佬,说是我的docker API没有设置密码,导致了被攻击,使用我服务器进行挖矿

下面是我的top截图,以及服务器系统日志的记录的被攻击日志,还有docker多出来的容器截图

top查看cpu100
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
以上就是我服务器被攻击的记录,下面是解决方案

docker开启remote api访问,并使用TLS加密

这里是官方的权威文档:官方安全文档
默认情况下,Docker通过非网络UNIX套接字运行。它还可以选择使用HTTP套接字进行通信。
如果您需要通过网络以安全方式访问Docker,可以通过指定该tlsverify标志并将Docker的tlscacert标志指向 受信任的CA证书来启用TLS 。
在守护程序模式下,它仅允许来自由该CA签名的证书验证的客户端的连接。在客户端模式下,它仅连接到具有该CA签名的证书的服务器。

创建密钥的过程:

  1. 创建自定义文件夹mkdir /root/work
  2. 切换到该文件夹:cd /root/work
  3. 使用脚本生成秘钥文件:
    #!/bin/bash
    #创建根证书RSA私钥:
    #页面提示Enter pass phrase for ca-key.pem,此时输入秘钥的密码,我这里输入了1234,回车后会要求再输入一次,两次密码一致就会在当前目录生成CA秘钥文件ca-key.pem
    openssl genrsa -aes256 -out ca-key.pem 4096
    #以此秘钥创建CA证书,自己给自己签发证书,自己就是CA机构,也可以交给第三方机构去签发:
    #此时生成的ca.pem文件就是CA证书;
    openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj “/CN=" -out ca.pem
    #创建服务端私钥:
    openssl genrsa -out server-key.pem 4096
    #生成服务端证书签名请求(csr即certificate signing request,里面包含公钥与服务端信息)
    openssl req -subj "/CN=    ” -sha256 -new -key server-key.pem -out server.csr
    #生成签名过的服务端证书(期间会要求输入密码1234):
    openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem
    #此时生成的server-cert.pem文件就是已盖章生效的服务端证书;
    #生成客户私钥:
    openssl genrsa -out key.pem 4096
    #生成客户端证书签名请求:
    openssl req -subj “/CN=client” -new -key key.pem -out client.csr
    #生成名为extfile.cnf的配置文件:
    echo extendedKeyUsage=clientAuth > extfile.cnf
    #生成签名过的客户端证书(期间会要求输入密码1234):
    openssl x509 -req -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf
    #将多余的文件删除:
    rm -rf ca.srl client.csr extfile.cnf server.csr
    chmod -v 0400 ca-key.pem key.pem server-key.pem
    chmod -v 0444 ca.pem server-cert.pem cert.pem
  4. 打开文件:vim /lib/systemd/system/docker.service
  5. 修改ExecStart配置:ExecStart=/usr/bin/dockerd -H unix:///var/run/docker.sock -D -H tcp://0.0.0.0:2375 –tlsverify –tlscacert=/root/work/ca.pem — tlscert=/root/work/server-cert.pem –tlskey=/root/work/server-key.pem
  6. 加载上述配置,再重启docker服务:systemctl daemon-reload && systemctl restart docker
  7. 完成。欢迎留言评论

猜你喜欢

转载自blog.csdn.net/weixin_43691942/article/details/102802576
今日推荐
火速冲上 GitHub 热榜 —— 开源编程语言、框架哪有这么可爱?
北京人形机器人创新中心发布全球首个纯电驱拟人奔跑的全尺寸人形机器人“天工”
LFOSSA 源来如此公开课 | 掌握云原生未来:CNCF 认证全面攻略与备考秘籍
国产云输入法——仅华为无云端数据上传安全问题
开源日报 | 工业开源项目OGG 1.0;姐姐,你要和我一起配置火狐吗;苹果AI遥遥落后?Fedora 40
开放签电子签章:停止新增,优化体验,前进更进(五一假期前工作)
开源日报 | 中学生开源前端动画引擎;全球首个Llama3 8B中文版开源模型;联想电脑恐出局;Linus讽刺AI炒作
周排行
浏览器对同一域名进行请求的最大并发连接数
React Hook之自定义Hook
【转】MyBatis缓存机制
-Java-泛型
自动化测试常用脚本-发送邮件
LeetCode#859: Buddy Strings
java、Python处理字符串
第二篇の博客
Hadoop伪分布式环境安装
SQL Server进阶(十一)临时表、表变量
每日归档
更多
2024-04-27(56)
2024-04-26(39)
2024-04-25(22)
2024-04-24(36)
2024-04-23(26)
2024-04-22(39)
2024-04-21(0)
2024-04-20(6)
2024-04-19(5)
2024-04-18(0)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022