哪吒挖矿?
刚在gcp上开通了一台机器并搭建了一个typecho网站,debian12,用的是lnmp,apt手搓的。然后再安装了哪吒探针(客户端)和vnstat。这就是这台机器上的所有操作。才1个小时的机器,还不至于健忘忘掉啥。
机器开通1个小时后就被gcp给暂停了,警告存在挖矿行为。
debian是gcp官方装的应该没问题,而且也apt upgrade过了,typecho应该没有0day的(有0day也不至于用到我身上),apt手搓的nginx mariadb php vnstat应该也不可能有问题,debian官方源来着的。机器防火墙只开放22和80(只允许cf),22只能密钥登录,我相信没人能在操作系统层面入侵。
福尔摩斯说,当你排除所有不可能的因素之后,无论剩下的多么难以置信,那就是真相。
我倒不是对国产软件有什么误解,我相信哪吒不会挖矿,我只是想,也许它频繁的向主控传送心跳信息符合了某个挖矿的行为模式?
把哪吒禁掉了,继续观察了,如果过了今晚还没问题的话,那肯定就是它了。
跟进:
一夜无事。这表明lnmp和typecho没有问题。
因为昨天同时做了二个举动,一是停止了哪吒,一是停止了vnstat。我认为vnstat做为系统自带的资源检测包应该是没有问题的,当时只是为了最少化系统服务把它停止的。
然而,非常不幸,在我今天恢复vnstat后一个小时,机器再次被因”挖矿“停机。
不知道是巧合,还是问题出在vnstat上。 然而,vnstat有问题?谁信?
我已经向gcp申诉了,等待他们反馈。
重新安装了系统,然后安装了lnmp,以及安装了vnstat,已经超过12小时了,一切正常。
向google的申诉已经被驳回,google提供了监控数据,表明服务器确实挖矿了,因为有连接矿池ip的网络层记录。
没有再装哪吒,一是我不想把我的google号失去了,这是主号。一是,因为它是属于downloader类型的应用,想实锤并不容易。就是,它的服务端可以随时下发任务。
所以,只能是排除法。
所以结论是谁的问题?看你说的好像是vnstat的问题啊。哪吒挖矿能实锤吗
按照我的理解,基本上是哪吒的问题吧,不过无法实锤。
第二次被封,应该是纯属巧合,就是挖矿的东西已经下发到机器上了,vnstat不过是时间巧合。因为后续,lnmp+vnstat被证实是没有问题的。
排除掉已经确认的,那剩下的就是了。