我在本地硬體上使用 VMware ESXI 6.7 運行 CI 伺服器。它有三台主機,運行Linux、Windows和MacOS。 Linux 主機運行 Jenkins 實例。我最近注意到我們的建置時間比平常長得多。經調查,Linux 主機上似乎有一個名為 kintegrityds 的進程,該進程正在使用 100% 的可用(虛擬)CPU 核心。它以 jenkins 用戶身份運行。殺死它似乎不會造成任何不良影響,但它會在下次建置發生時返回,或有時在伺服器空閒時返回。
磁碟故障?這是突然發生的,沒有任何配置變更。
答案1
今天早上一直在戰鬥,透過谷歌搜尋發現了這個:
https://www.anomali.com/blog/rocke-evolves-its-arsenal-with-a-new-malware-family-writing-in-golang
似乎您可以透過那裡的描述對感染進行逆向工程。根據這篇文章,應該有一個 cron 來保持這個回來。chattr -i用於保護屬於感染、/etc/ld.so.preload被修改等的文件。
答案2
我可以確認@rutgoff 的答案。這是一個惡意軟體。
我們今天在詹金斯實例中發現了它,它運行了昨天的礦機(在我們的例子中)。
幸運的是,我們在 docker 容器中使用 jenkins,因此我們刪除了該容器並啟動了一個新容器。