一次与“被矿机”的博弈过程

       最近真的没想到一件只在“新闻中的事”却真真切切发生在自己身上，那就是我的电脑“被挖矿”了，成为俗称的“肉鸡”，真的让我开始关注起网络安全的重要性了。看到这，别想歪，我可没有用它来浏览带颜色信息！万万没想到，这个病毒其实隐藏在了一个docker镜像内，还好我及时发现并处理了，没造成啥重大损失，下次要引以为戒了。好了，下面就听我将整个事情原委一一道来。

      首先交代一下，我的台式电脑是ubuntu18.04系统，32g运存，i7的处理器，显卡是getforce 2070super，docker版本是20.10.7版本。

（1）发现异常

       让我最近起疑的是台式机有一次突然登录密码错误，登不上去了，我以为是自己忘了修改密码，然后通过修复模式进入系统设置新的密码，后来也没太在意，接着后面显卡驱动和~/.bashrc莫名奇妙不见了，然后自己手动又一一补上，此时我还以为是显卡松动了啥的，给它一通收拾，又过了几天一件事情真正让我觉察到这件事不简单，那就是我通过

watch -n 0.1 nvidia-smi

观察显卡使用率，发现后台总是突然新起一个，有时候两个htop的进程，然后迅速占满显卡，而且电脑也会变得比较卡起来，于是我开始深究这个问题了。

（2）追根溯源

       发现该异常进程后，然后我迅速去查看一下cpu使用情况

貌似没有发现啥特殊的，然后我就去查看了一下改进程的相关信息

ll /proc/23767   

最后我去查看了一下root账户和个人用户后台自启动程序

crontab -l

终于发现了一个莫名的自启动程序

然后查看了一下里面的内容

到这里终于明朗了，然后去网上一查，ip在新加坡段，一个著名的渡鸦币(RVN)显卡挖矿小病毒。

（3）激烈博弈
       发现自己被肉鸡后，心情是又激动又忐忑，第一次碰到这玩意还真不知道如何解决，网上搜索了一番好像也没找到行之有效的解决办法，于是自己还是根据htop进程来入手。

      刚开始自己只是手动kill这个进程，但是这显然治标不治本，然后自己一番思考，全盘查看一下htop相关的内容

sudo kill -9  xxx ##手动kill相关进程
sudo find / -name htop*   ###全盘查找与htop相关的

然后我得到一些相关信息（忘记截图了。。。），同时与crontb自启动的内容脚本一致了，于是接下来就是该删的删，该停的停了。

       中间如果碰到一些文件在删除时报“只读系统文件”的问题时，就算加上了sudo也不能解决问题，这时候需要借助单用户模式下mount -o remount,rw /来解决问题，如果还是解决不了，可以尝试下面方法：

mount    ###查看模块的属性，哪个模块输入只读ro，哪个模块输入可写rw#对于出现与htop相关的模块，如果发现有ro，就重新mount，或者umount以后再remount，比如umount /dev/nb1 ###然后再rm -rf /dev/nb1即可

      后来发现原来是docker拉取的一个镜像里面包含了这个病毒，这个镜像主要和我最近做的传感器融合相关，加了一个vnc可视化，没想到里面尽然包括了这个玩意，坑死我了，花了几天时间才发现解决。然后果断将这个镜像关停删除，至于网上说的养蛊，也就是将这个病毒养起来慢慢玩，我想还是算了，等自己能力强大了再说。

      好了，今天的分享就到这里吧，我想这也多亏是在docker内运行的小病毒，关闭该镜像，然后删除htop相关的自启动文件即可，现在观察了一天好像没有再出现该问题了，下次要多吸取教训了！如果觉得有趣有用，有空可以关注一下我的公众号“半路IT南”，谢谢！