文章记录了一次由于Docker配置的漏洞导致的挖矿程序入侵的发现过程以及解决方案。由于本人时间有限，没有时间去深度学习linux的相关运维知识，所以解决方案可能是比较浅显的，还望您在阅读本文前知悉。 在我的个人博客阅读本文

2019年9月2日凌晨，我正准备关闭电脑睡觉，突然收到阿里云的一条短信，说是服务器被挖矿软件入侵了，一开始我是不相信的，就我这草履虫一样的网站，应该没有任何会来才对啊，后来查看了一下阿里云后台，我确定我的服务器确实被矿总入侵了。

阿里安全中心给出的结论 控制台CPU占用 我的服务器只挂载了一个Docker和Nginx应该没有那么大的资源占用，很明显这是异常占用了。

从图上我们可以找到CPU占用97.7的进行名为xmrig(甚至都不伪装一下进程名)

笔者发现这两个挖矿程序都是在docker的路径下，初步判断应该是docker的配置导致的

笔者想起来前些日子为了idea能够一键部署docker偷了一个懒：

开放了无CA认证的Docker远程访问

矿总应该是通过这个渠道连接到主机植入了挖矿程序。看到这个路径，笔者考虑是不是由于之前开放了远程访问，所以矿总部署了挖矿镜像？

果然如此。

之前我们发现了是因为Docker的无认证的远程访问开启导致的入侵，所以这里要做的是关闭Docker无认证远程访问权限，避免下次被入侵

之前的配置：

移除ExecStart中的-H tcp://0.0.0.0:2375 --containerd=/run/containerd/containerd.sock 现在就有如下配置：

top -H查看CPU占用最高的进程，发现恢复正常，整机cpu占用百分之7点几，符合网站预期。

这是我第一次亲身感受服务器被入侵，好在矿总大哥手下留情，只是部署了一个挖矿的Docker容器，没有在服务器其他地方植入矿机。虽然服务器成为肉鸡令人难过，可是这次的教训却让我以后再部署实施时更加注意服务器安全问题，让我意识到之前的配置存在的问题而且没有造成很严重的后果，总体是收获大于损失(几乎没损失哈哈)。

如果你也之前看到过idea一键部署Docker的教程，千万记得要配置CA认证的远程访问，不要偷懒，不然你就是下一个矿机