前几日在阿里云ECS上部署了一个web服务容器,没想到过了几天收到告警:云防火墙检测到您的系统IP:xx.xx.xx.xx 出现了高风险安全事件:主机存在wakuang行为。
最开始以为是误报
但是,SSH连接上以后发现:
确实存在恶意容器,貌似是wakuang(menluobi)的一个容器,不禁一阵后背发凉:成rouji了?
赶紧先rm、rmi把容器镜像删完,然后开始找原因
搜索一番发现貌似是因为2375端口暴露在公网上了,这个端口是用来进行docker集群管理的,所以权限相当大,大到可以执行docker几乎一切命令:docker pull、docker run、docker push。。。
关于这些可以参考:
https://blog.csdn.net/xuegeweiwu/article/details/91350966
http://www.dockerinfo.net/1416.html
https://tech.gtxlab.com/docker-api-loophole.html
补救措施:
- 删除恶意容器镜像
- 重置服务器系统
- 关闭2375外网访问
- 对可能出现的容器泄露导致的代码泄露进行预防性处置,如修改可能泄露的账号密码
又有事干了。。。