求各位大佬看看我的 NAS 机器是不是被攻击了

大概率是的

自从看到有个网友往 docke 里面投毒，控制了几百台主机，后面只要不是出名的应用，我都用的小心翼翼

挖矿吧，查一下定时任务或者有什么异常的服务

应该就是的了。大佬可以把数据先备份出来吧，防止更多损害。

大佬，也可以了解一下懒猫微服，天生安全。下面有篇安全圈大佬的博客介绍:
www.zhaoj.in/read-8958.html

不会又是 docker 投毒吧

unraid 、docker 都有可能，不一定就是外网的攻击。

你估计 Unraid 用的破解版的

@sduoduo233 #1 难受

@tjiaming99 #2 以后确实要注意了

@ID404 #3 我自己设置的定时任务只有 rsync 备份

@LazyCatCloud #4 感谢，我了解一下，昨天还看到你们在 V 站 抽奖了

@FrankAdler #5 不确定

@KingZZZZ #6 我查查吧，不行把 Unraid 换掉，用 FnOS 或者直接 Debian

@XDiLa #7 是的，我用的 Tank 的开心版，因为当时买的 Tank 的机箱，送了 Unraid 系统 U 盘

看下 load average 就不对了，应该是了，备份下数据重来吧。

user999 ，大概是 docker

不是，哪个 SB 骇客会同时启动这么多进程，巴不得隐藏进程隐藏端口隐藏通信

@byp 感谢大佬关注。祝大佬能抽到想要的

https://cloud.tencent.com/developer/article/1834731
参考一下，我的经验就是先安装个 busybox ，因为很多系统命令都被篡改了根本删不了，然后看看有什么异常的出栈请求，找到地址给禁了

有啥容器暴露在公网么（包括 frp ）

@SenLief #9 我的 nas 在我老家放着

@zyp38263547 #10 我看了所有 docker ， 没有高占用 CPU 的

@hanssx #11 哈哈哈，就是说啊

@CherryGods #12 感谢大佬吉言

@lhsakudsgdsik #13 我看看吧，感谢大佬

@ThirdFlame #14 几十个 docker 容器都暴露了，包括 Postgres

太可怕了兄弟 云服务器还能恢复快照，家里的设备搞不好就只有重装了

unraid 本身连个 selinux 都没支持 你还是不知道来源的 u 盘

@hanssx #11 之前的恶意挖矿程序就这样，估计是本着物尽其用的原则吧，在最短的时间内利益最大化

现在基本上确定就是恶意代码，通过 Postgres 容器进入，因为的 Postgres 通过 frp 暴漏到公网了， 而且我的密码设置的是 123456

@byp 123456……

@byp 你这不被黑才算奇怪的

今天下午 kill 掉可以进程，晚上又冒出来了

@byp #22 刚刚看了一下，这个程序是在 qBittorrent 容器里，这个容器的密码也是 123456 ，还有好几个容器是这个密码，哈哈

这个进程是在容器里，还是从容器逃逸出来了？

@sduoduo233 #24 应该还是在容器里，目前为止感染了三个容器，qBittorrent 、postgres 、mysql ， 这三个容器的密码都是 123456 ， 但是， 前两个我确实通过 frp 暴露在公网了，第三个没有暴露，为啥也会感染

@byp 进到内网了可以横向迁移