记一次因2375端口暴露导致的服务器攻击事件

已于 2022-11-22 08:53:02 修改
阅读量1.2k 收藏
点赞数
分类专栏: Docker 后端 文章标签: docker 安全 2375端口
于 2020-07-15 15:43:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MacwinWin/article/details/107361779
版权

前几日在阿里云ECS上部署了一个web服务容器,没想到过了几天收到告警:云防火墙检测到您的系统IP:xx.xx.xx.xx 出现了高风险安全事件:主机存在wakuang行为。
最开始以为是误报
但是,SSH连接上以后发现:
在这里插入图片描述在这里插入图片描述
确实存在恶意容器,貌似是wakuang(menluobi)的一个容器,不禁一阵后背发凉:成rouji了?
赶紧先rm、rmi把容器镜像删完,然后开始找原因

搜索一番发现貌似是因为2375端口暴露在公网上了,这个端口是用来进行docker集群管理的,所以权限相当大,大到可以执行docker几乎一切命令:docker pull、docker run、docker push。。。
关于这些可以参考:
https://blog.csdn.net/xuegeweiwu/article/details/91350966
http://www.dockerinfo.net/1416.html
https://tech.gtxlab.com/docker-api-loophole.html

补救措施:

  1. 删除恶意容器镜像
  2. 重置服务器系统
  3. 关闭2375外网访问
  4. 对可能出现的容器泄露导致的代码泄露进行预防性处置,如修改可能泄露的账号密码

又有事干了。。。

micromicrofat
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Docker开放2375端口被挖矿,docker镜像部署阿里云私有镜像库
h_j_c_123的博客
05-26 561
因为之前组装了一台个人的服务器并且可以公网访问,然后为了方便就部署了docker并开放了2375端口进行外网打包,但是这个2375端口有漏洞经常会被大佬攻击,机器也被拿去挖矿,我就在想有没有什么办法可以在不开放docker远程连接端口的情况下能把自己的代码镜像部署上去。
计算机端口攻击安全事件,从入侵检测系统漏洞来分析入侵事件 -电脑资料
weixin_29363945的博客
08-02 323
本文根据检测系统的漏洞来认识 的入侵手法,一、识别方式的设计漏洞1.对比已知攻击手法与入侵检测系统监视到的在网上出现的字符串,是大部分网络入侵检测系统都会采取的一种方式。例如,在早期Apache Web服务器版本上的phf CGI程序,就是过去常被 用来读取服务器系统上的密码文件(/etc/password),或让服务器为其执行任意指令的工具之一。当 利用这种工具时,在其URL request请求...
Docker Remote API 逃逸攻击2375端口)_2375 发送docker命令(3)
最新发布
2401_84544780的博客
05-16 376
Docker 2375端口上的 Remote API 存在未授权访问漏洞,攻击者可以借此控制宿主机dockerd创建特权容器完成逃逸。
ssh 端口_年度网络攻击大调查:SSH端口最易受网络攻击,HTTPS其次
weixin_39800112的博客
12-09 255
一般来说,人们会通过检查端口、更新设备等多种措施来预防大多数网络攻击威胁。然而在网络攻击事件中通常会有一定的规律。这次调查报告相对权威,其样本用户超过4000,分析了超过5000次攻击事件。顶级端口攻击率高报告指出,黑客用于执行攻击端口前三位是SSH、HTTP和HTTPS,而这些恰恰是受人们信任的顶级端口。这些攻击事件的出现频率很高,超过65%。由于它们需要开放通信,无论是安全通信还是纯文本都会...
阿里云、云机器被渗透
xiaoyiandun的博客
03-29 2631
最近很多阿里云机器以及云主机被渗透数据库进行勒索。那么我们要怎么保证我们的业务上线之后不被有心人利用呢?(阿里云服务器怎么防止被渗透) 渗透测试,是为了证明网络防御按照预期计划正常运行而提供的一种机制。不妨假设,你的公司定期更新安全策略和程序,时时给系统打补丁,并采用了漏洞扫描器等工具,以确保所有补丁都已打上。如果你早已做到了这些,为什么还要请外方进行审查或渗透测试呢?因为,渗透测试能够独立地检查你的网络策略,换句话说,就是给你的系统安了一双眼睛。而且,进行这类测试的,都是寻找网络系统安全漏洞的专业人士。
Docker暴露2375端口导致服务器攻击解决方法!
欢迎来到「小菠萝」的博客
02-25 7964
相信了解过docker remote API的同学对2375端口都不陌生了,2375docker远程操控的默认端口,通过这个端口可以直接对远程的docker daemon进行操作。 当$HOST主机以docker daemon -H=0.0.0.0:2375方式启动daemon时,可以在外部机器对$HOST的docker daemon进行直接操作: docker -H tcp://$HOS...
Docker暴露2375端口导致服务器攻击问题及解决方法
09-29
主要介绍了Docker暴露2375端口导致服务器攻击问题及解决方法,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
WIN2003服务器端口大全
07-04
5. **端口 21 (FTP)**:FTP服务的主要端口,匿名FTP服务器可能暴露可读写的目录,容易受到攻击。 6. **端口 22 (SSH)**:SSH服务,用于安全的远程登录,但其弱点可能被利用,例如通过RSAREF库的漏洞。 7. **端口 ...
一款用于资产探测的端口扫描工具.zip
02-09
例如,开发团队可以通过定期扫描,及时发现并修复安全漏洞,避免因服务暴露而引发的数据泄露或恶意攻击。 【在快应用开发中的应用场景】 1. **新服务器初始化**:在部署新服务器时,使用端口扫描工具确认所有必要...
linux常用端口端口外露的后果
perturb的博客
08-16 1124
端口不再直接打开而是由对应的程序来打开,不同程序支持的协议不同,如果黑客使用的请求信息中的协议与被攻击端口对应的协议不同的话,该端口不会识别该请求信息也就不会被攻击数据库。有的程序会共用一个端口,这种情况下为了辨别不同的程序请求的数据它们所使用数据的格式也会不同,就算是同一个端口也会因为程序的共用导致黑客请求时因为数据格式不对也不会返回数据。扫描工具会带有常用程序的所有默认端口以及对应的协议,扫描时对默认端口都进行数据请求,如果用户端有回复就说明该用户开了该端口。...
阿里云服务器暴露主机端口
qq_22158743的博客
07-30 2547
阿里云服务器暴露端口号的 坑!!!!!! 之前使用学生价买了阿里云服务器,最近做项目,想部署一些服务到上面去,配置好了防火墙,暴露端口,当是本地还是无法访问,郁闷了好长一段时间(小白!!)。 后来才发现还需要在控制台上设置!!! 在控制台上,找到安全->防火墙: 下面是默认暴露端口: 如果自己需要暴露某些端口,点击添加...
阿里云部署tomcat暴露外网访问
zeng25977的专栏
09-07 750
一、首先你得有一台外网上的服务器   华为、腾讯、阿里都有云服务售卖,我这里是在阿里云打折时购买的。 二、使用Xshell和XFTP连接上云服务   当然了,连接工具有很多种,可随意。购买服务器之后,你会收到云服务的一些数据,可以根据这些数据去连接。 (1)连接XFTP    (2)连接XShell 三、上传Tomcat和JDK到云服务上   可以通过XFTP这个可视化工具,去拖拽上传 也可以通过rz指令,在xshell控制上弹出文件选择框,来选择指定的文件上传到云服务器当前文件.
3.云原生-FRP内网穿透(详解)使用云服务器将内网集群服务暴露至公网
平塘大鱼儿
08-09 672
frp 是一个专注于内网穿透的高性能的反向代理应用,支持 TCP、UDP、HTTP、HTTPS 等多种协议。可以将内网服务以安全、便捷的方式通过具有公网 IP 节点的中转暴露到公网。frp 采用 Golang 编写,支持跨平台,仅需下载对应平台的二进制文件即可执行,没有额外依赖。...................................................
如何安全地打开远程桌面,防止被勒索病毒攻击
米时光
08-02 3717
是的,你没看错,勒索病毒大部分中招者,都是被远程桌面攻入,然后文件被快速锁死,但是我们也不能因噎废食,直接弃用远程桌面也不是明智之举,所以如何安全地使用远程桌面维护Windows Server就显得很重要了。 1、注册表大法,把Windows Server默认的3389端口修改掉,注意要修改两个键值,因为我经常改,所以做成批处理文件了,33889可以修改为你自己喜欢的端口号: REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Term.
Docker 2375 端口入侵服务器,部分解决方案
十年呵护的专栏
07-01 1996
docker remote API的同学对2375端口入侵服务器 2375->上传镜像-》获取控制权-》ssh pub key 注入-》登入服务器 核心总结: 1.禁用2375 2.创建linux新用户 3.禁止root远程登录 4.卸载重新安装docker,并删除之前的文件 5.禁止外网 一、创建新用户以及授权 创建用户 adduser limp用户名 更改密码 passwd limp用户名 方法:修改 /etc/passwd 文件,找到如下行,把用户I...
Docker Remote API 逃逸攻击2375端口)_2375 发送docker命令(1)
m0_60607397的博客
04-07 413
本文分析了如何通过 Docker 远程管理API来完成逃逸,但该漏洞需要管理员主动配置,没有广泛存在,但利用难度很低。
阿里云服务器如何暴露端口
simpleness_的博客
03-04 1196
阿里云服务器如何暴露端口
docker开通2375端口防漏洞
Dcj695632854的博客
04-19 774
最近因为自己的云服务器开放了Docker 2375端口导致被注入蠕虫,一直在跑挖矿程序。所以大家一定要注意外网环境下不要轻易打开此端口,如果要对外开放此端口,可以参考下面的解决方案,下面就Docker对外开放2375端口引发安全漏洞进行一个详细的说明。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值