上周，我想部署一个分布式文件系统。我在阿里云申请了一台机器，部署了docker并安装了Simpledfs。主机刚配置不到两天，发现机器的cpu使用率大幅度上升，控制台发出了各种警告。登录前看top，看系统情况，发现这个bash脚本几乎占有所有的cup，预计会变黑。我赶紧去看下Linux服务器的历史操作，在history的命令下看历史操作，发现内容被清空，日志文件也被清空，docker服务也被关闭了。经过调查，该机开放了ssh服务22端口、当地smtp25端口、sshd守护程序222端口和docker服务端口。对外暴露了ssh，首先想到的是看ssh的版本。检查该版本中可能被攻击者使用的漏洞，检查可能被使用的OpenSSH安全认证绕过漏洞(CVE-2018-15013)、SSH登录认证绕过漏洞(cve-2018-10933)等漏洞的利用方法.

攻击者有可能利用docker的漏洞溢出容器，此时，我觉得dockerrreomoteAPI不允许访问漏洞，攻击者可以利用dockerAPI2375端口，通过接口执行容器命令。然后将/root/.ssh目录挂载到容器中，然后填写ssh钥匙，修改权限为600，然后用户可以登录。

1.攻击者创建了一个新的账户查看/etc/passwd文件发现新用户tech，创建时间为22:13 tech:x:1000:1000:::/home/tech:/bin/bash。

2.攻击者将tech用户添加到wheel组，修改/etc/sudoers文件。(该文件的权限曾被篡改，首先应该追加写作权限，篡改完成后返回440权限，wheel集团的用户在使用sudo到root时不需要输入密码。中所述情节，对概念设计中的量体体积进行分析.

3、随后攻击者下载工具集busybox，被阿里云检测出来。

4.攻击者将根目录改为指定目录chroot/mnt/bin/sh-ccd/opt/写入z.sh，其中包括ip地址。威胁信息如下:在系统的opt目录下，z.sh5、攻击者试图写入后门程序，进行权限维持/usr/sbin/stable，但蚂蚁云盾拦截了后门程序。从6、22点14分到22点47分，攻击者kill掉了阿里云的云盾防护，下载了挖矿程序。这个过程是阿里云云盾，日志被清扫了。没有得到更多的信息。

5、然后攻击者下载挖矿程序安装。xmrig和config.json文件出现在/root/.ssh中，时间为22:49。西mirg是比特币挖矿软件，可以通过匹配的挖矿池内容修改相应的config.json文件。