[程序员] Go 日的挖矿病毒，好好的周末被毁了

[小天管理]

白天在外面浪的好好的，收到客户反馈服务崩了，服务器上去一看两个“xm”进程 cpu300%。。。另一个同事卡的 ssh 都连不上

查到最后发现是 docker 里起的服务，病毒文件在容器 tmp 目录里，宿主机/var/lib/docker/overlay2/容器 id/merged/tmp 也有

病毒是个挖矿程序，跟这个帖子一样 https://www.v2ex.com/t/969255 ，也是 c3pool 的账号

这个病毒挺能潜伏的，有日志文件，发现两个月前就在了，只是 cpu 占用不高没被发现，容器里一堆脚本 networkSync 、kdevtmpfsi 、watchdogs

目前处理方法是重新构建了镜像（怀疑是很久之前某次构建镜像源有问题？因为容器创建都 1 年多了，中途都是拷贝代码到容器重启）

这种人有办法搞他么？脚本备份了，有他 c3pool 的 user 信息，暂时先不放出来，怕被看到，因为不确定毒是否清干净了，咱也不是专业运维

有两个问题希望有遇到过的老哥能解惑下 1 、tmp 目录没映射为啥宿主机也有对应的文件，是 docker 内部能越权还是 docker 内所有文件宿主机都能直接查到？ 2 、相同代码、依赖镜像还有其他容器，但是只有这个出了问题，除了镜像源投毒，java 依赖包有可能干这事么

这个病毒挺能潜伏的，有日志文件，发现两个月前就在了，只是 cpu 占用不高没被发现

提醒下各位同志们检查下自己服务器 tmp 或者容器 tmp ，有没有可疑文件（ xm 、networkSync 、kdevtmpfsi 、watchdogs 之类的），这货账号下有 100 多个矿机。。。估计都是肉鸡