使用 镜像 ecf6dd577389 导致 Linux cpu 率 50 % #2000
Comments
|
+1,单核服务器会被占满100% |
|
镜像疑似被加入了挖矿脚本 地址是: 107.167.83.34:443 |
|
ubuntu同样的问题,启动镜像后cpu占用率会到50% |
有更详细的日志吗 ? @finisitineris |
|
是的,debug了好久。一开始vps都ssh进不去了,因为占用满了。。。 |
|
|
|
我目前不方便截图,但很可能是 DockerHub 的镜像被投毒了。 我服务器上镜像的更新时间如下: 我从监控看到在那之后占用一直很高。 在那个时间点,DockerHub 上的版本 0.6.5 和 0.6.9 的镜像被替换为投毒后的镜像(ID: 72e46af91bb2)。 https://hub.docker.com/r/justsong/one-api/tags 我是通过 1Panel 发现服务器占用过高,进程管理中发现一个名为 "7" 的进程占用资源异常,且其父进程为 one-api。然后我查看 "7" 进程的网络连接,发现其连接到 107.167.83.34:443,Nmap 了一下 IP 发现是一个矿池。 |
|
|
|
DockerHub的v0.6.5-v0.6.9,以及latest应该全部被投毒了,都是一样的sha256。如果还能拿回账号控制权的话,建议先删除相应的tag镜像,避免更多的人中招,如果无法拿回控制权,建议置顶发出警告。 |
|
看了一下 ghcr.io 的镜像更新时间还是6天前,应该只是DockerHub被拿下了,可以考虑使用 ghcr.io/songquanpeng/one-api:v0.6.9 |
|
我先撤销所有 token |
我昨天并没有推送
|
|
|
初步判断是用于 One API 推送 docker 镜像的密钥被泄露了,该密钥仅用于 GitHub Actions |
|
初步判断只是 token 泄露了,稳妥起见我已经撤销所有 token,重置密码,并 enable 2fa: |
|
我先重新推送一个 latest 镜像 |
已提交abuse report 希望能降低影响 能反查到的是 |
暂未推送,还是先找出原因吧 |
根据官方描述,密钥是不会被 fork 利用的,但可能被合作者利用,稳妥起见,我先撤销所有合作者权限(各位见谅),先等原因确定后再加回来
|
GitHub Action 先 disable 了 |
你可以用这个项目自查一下看看可能攻击的手段然后定位问题 |
先临时推送了一个版本 |
|
|
|
请问这个是 Docker Hub 被攻击者利用了打包一个xmrig在docker hub里面并发包吗(? |
|
太坑了 |
可以简单理解为封装了 |
从容器中逃逸出来了吗? |
|
|
|
我运行docker习惯性加了--cap-drop=ALL。宿主机应该不需要重装吧。 |
不是,放心。你可以自己去htop看一下,使用/开始过滤,如果没有的话就没问题。 |
|
把已经部署的容器包括镜像都删除就好了,应该是没有从容易逃逸感染到宿主机。 |
|
原则上是不会从容器中逃逸的,停止并且删除容器,重启服务器可以解决问题。 |
|
这个事情我本周末还会再追一下 |
|
|
先确认下。那些版本会受到影响。6个月前的 v0.6.7版本有没有问题 |
攻击者是周五推送的,其当时重新推送了v0.6.5到v0.6.9之间的正式版本,如果你周五没更新受影响版本就不受影响 |
猫池 把启动参数复制出来 可以去投诉投毒的钱包地址 c3pool.org |
|
谁还有被投毒的镜像样本吗,我想分析一下攻击者是怎么封装的xmrig |
例行检查
问题描述
我设置了 docker 镜像自动更新, 运行 one-api 的 docker 镜像,导致 cpu 占用率 50%。 pve 上的虚拟机,cpu i7-8550u, 分配内存8G
复现步骤
启动 docker 容器后, cpu 占用率会上升到 50 %左右
预期结果
相关截图
The text was updated successfully, but these errors were encountered: