记一次因2375端口暴露导致的服务器攻击事件

前几日在阿里云ECS上部署了一个web服务容器,没想到过了几天收到告警:云防火墙检测到您的系统IP:xx.xx.xx.xx 出现了高风险安全事件:主机存在wakuang行为。
最开始以为是误报
但是,SSH连接上以后发现:
在这里插入图片描述在这里插入图片描述
确实存在恶意容器,貌似是wakuang(menluobi)的一个容器,不禁一阵后背发凉:成rouji了?
赶紧先rm、rmi把容器镜像删完,然后开始找原因

搜索一番发现貌似是因为2375端口暴露在公网上了,这个端口是用来进行docker集群管理的,所以权限相当大,大到可以执行docker几乎一切命令:docker pull、docker run、docker push。。。
关于这些可以参考:
https://blog.csdn.net/xuegeweiwu/article/details/91350966
http://www.dockerinfo.net/1416.html
https://tech.gtxlab.com/docker-api-loophole.html

补救措施:

  1. 删除恶意容器镜像
  2. 重置服务器系统
  3. 关闭2375外网访问
  4. 对可能出现的容器泄露导致的代码泄露进行预防性处置,如修改可能泄露的账号密码

又有事干了。。。

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值