容器应急排查命令

已于 2024-05-15 10:32:56 修改
阅读量178 收藏
点赞数 2
文章标签: 应急响应 容器 云原生
于 2024-05-15 10:31:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_38844729/article/details/138898391
版权

定位容器

//恶意外连
tcpdump -i docker0 dst host 恶意外连地址 -v #tcpdump抓包定位容器ip地址
docker inspect -f '{{.Name}} {{.State.Pid}} - {{.NetworkSettings.IPAddress }}' $(docker ps -aq) |grep 172.17.0.2 #获取容器名称、PID及其IP地址,匹配172.17.0.2
//恶意进程
docker inspect -f "{{.Id}} {{.Name}} {{.State.Pid}}" $(docker ps -aq) | grep pid #查找pid对应的容器名及其PID

docker inspect命令使用

//获取容器在宿主机上的PID
docker inspect -f '{{.State.Pid}}' <容器名>

//获取容器网络的相关信息
docker inspect -f {{.NetworkSettings}} <容器名>   
docker inspect -f {{.NetworkSettings.IPAddress}} <容器名> 

//目录在宿主机的具体挂载位置
docker inspect -f="{{json .Mounts}}" <容器名>  
docker inspect -f "{{range .Mounts}} {{println .Source .Destination}} {{end}}" <容器名>

//查看网络信息
docker inspect -f="{{json .NetworkSettings}}" <容器名>

//定位镜像文件系统在宿主机上对应的目录
docker inspect gophish | grep Dir

//定位容器在宿主机上的挂载目录
docker inspect --format="{{json .Mounts}}" <容器名> | jq

//查看运行的容器对应的镜像版本
docker inspect gophish | grep Image

其他命令

docker logs <容器名> #查看容器日志
//查看容器内文件状态变化,三种状态(A - Add, D - Delete, C - Change )
docker diff <容器名> | grep A 
//查看容器的CPU、内存、网络 I/O等情况
docker stats <容器名>
//查看容器中的进程信息
docker top <容器名>

处置命令

docker commmit <容器ID> #保存容器
docker pause <容器ID> #暂停容器
docker unpause <容器ID> #取消暂停容器
docker rm -f <容器ID> #删除容器
Franchi小白帽
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Docker 容器入侵排查
06-14 2222
随着越来越多的应用程序运行在容器里,各种容器安全事件也随之发生,例如攻击者可以通过容器应用获取容器控制权,利用失陷容器进行内网横向,并进一步逃逸到宿主机甚至攻击K8s集群。容器的运行环境是相对独立而纯粹,当容器遭受攻击时,急需对可疑的容器进行入侵排查以确认是否已失陷,并进一步进行应急处理和溯源分析找到攻击来源。在应急场景下,使用docker命令可以最大程度利用docker自身的特性,快速的获取相关...
Docker容器挖矿应急实例
08-07 532
01、概述很多开源组件封装成容器镜像进行容器化部署在提高应用部署效率和管理便捷性的同时,也带来了一些安全挑战。一旦开源系统出现安全漏洞,基于资产测绘就很容易关联到开源组件,可能导致被批量利用。在本文中,我们将分享一个真实的Docker容器应急实例,涉及到基于开源组件漏洞披露的前后时间段内,容器遭遇挖矿程序植入的情况。我们将深入分析排查过程,还原入侵的步骤和手段,帮助读者了解应对挖矿程序入侵的实际应...
记一次挖矿脚本应急排查
今天是几号的博客
12-19 1840
打完靶场记得及时清理 不过通过这种方式来收集一些样本,也是一个不错的选择。
应急排查手册
zhalang8324的博客
10-16 1753
雷锋网按:本文作者sm0nk@猎户攻防实验室,雷锋网宅客频道授权转载,先知技术社区拥有全部内容版权。媒体或商业转载必须获得授权,违者必追究法律责任。 1 事件分类 常见的安全事件: Web入侵:挂马、篡改、Webshell 系统入侵:系统异常、RDP爆破、SSH爆破、主机漏洞 病毒木马:远控、后门、勒索软件 信息泄漏:拖裤、数据库登录(弱口令) 网络流量:频繁发包、批量请求、DDOS...
Docker 恶意挖矿镜像应急实例
09-14 6979
01、概述当网络流量监控发现某台运行多个docker容器的主机主动连接到一个疑似挖矿矿池的地址时,需要快速响应和排查,以阻止进一步的损害。面对docker容器的场景下,如何快速分析和识别恶意挖矿容器?本文将分享一种应急响应思路,用于排查运行多个Docker容器的主机中可能存在的恶意挖矿容器。02、定位容器在宿主机上通过netstat -an 是看不到容器内的网络连接的,而一台台进入容器查看网络连接...
linux系统安全排查以及朔源应急响应技巧
it知识分享 free for nothing..
09-13 364
linux系统安全排查以及朔源应急响应技巧
应急响应-Windows-进程排查
qq_50765147的博客
01-23 998
进程(process)是计算机中的程序关于某数据集合上的一次运动活动,是系统进行资源分配和调度的基本单位,是操作系统结果的基础。在早期面向进程结构中,进程是线程的容器。无论是在Windows系统还是Linux系统中,主机在感染恶意程序后,恶意程序都会启动相应的进程,来完成相关的恶意操作,有的恶意进程为了能够不被查杀,还会启动相应的守护进行对恶意进程进行守护。对于windows系统中的进程排查,主要是找到恶意进程的PID、程序路径,有时还需要找到PPID(PID的父进程)及程序加载的DLL。
Windows下的应急响应思路及其基本命令
apple_52661176的博客
12-11 765
注意看,这个男人叫小帅。他在一个寂静的夜晚,月光洒在寂静的办公室里敲代码。突然,一连串神秘的电脑故障突然间打破了这里的宁静。电脑屏幕上出现了奇怪的代码,文件开始消失,网络连接也时断时续。在这个紧急关头,他将如何处理!!!
Linux应急响应辅助排查脚本
10-20
Linux应急响应辅助排查脚本 一键运行导出日志 将该脚本下载并移动到Linux任意文件夹,以root权限运行即可导出result.log辅助快速应急响应主机排查。 可使用此脚本用于分析日常服务器差异及被攻击行为。
java开发 线上问题排查命令详解
08-25
Java开发线上问题排查命令详解 Java开发中的线上问题排查命令详解是指在Java开发中使用的一些常用命令排查和解决线上问题。这些命令主要来自JDK的lib/tools.jar类库,安装JVM时会被安装到机器的bin目录下。 以下...
Juniper SRX防火墙故障排查命令指导
06-30
Juniper-SRX防火墙包含低中高型号,不管是...当防火墙遇到故障时,部分型号也有些排查命令可能不被支持,但此文档也作了一定的区分学习。 通过有效的故障排查,可以大大的缩短业务中断时间及提高自己的专业排错能力。
应急响应】Linux入侵排查思路
09-18
应急响应】Linux入侵排查思路: 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程...
Linux应急响应排查基础.zip
02-11
Linux应急响应排查基础 包含如下7分文档 数据采集.docx history.docx 日志查看命令.docx PS.docx linux应急响应checkList.docx Linux应急响应.docx Linux日志系统.docx
ConfigMap-secrets-静态pod
weixin_46466657的博客
07-14 3488
ConfigMap资源,简称CM资源,它生成的键值对数据,存储在ETCD数据库中应用场景:主要是对应用程序的配置pod通过env变量引入ConfigMap,或者通过数据卷挂载volume的方式引入ConfigMap资源官方解释:configMap 卷提供了向 Pod 注入配置数据的方法。ConfigMap 对象中存储的数据可以被 configMap 类型的卷引用,然后被 Pod 中运行的容器化应用使用。引用 configMap 对象时,你可以在卷中通过它的名称来引用。
基于DPU&SmartNic的云原生SDN解决方案
yusur的博客
07-22 433
为了解决传统SDN方案的问题,中科驭数提出了基于DPU/SmartNic的云原生SDN解决方案,驭云SDN将DPU/SmartNic卡进行统一管理将其,支持的网卡如PF/VF/SF/VFIO/VDPA等通过device-plugin发布给Kubernetes进行统一的管理和调度。
云原生之kubernetes实战】在k8s环境下部署go-file文件分享工具
最新发布
jks212454的博客
07-22 213
云原生之kubernetes实战】在k8s环境下部署go-file文件分享工具
云原生安全攻防》-- 容器攻击案例:镜像投毒与Fork炸弹
07-20 222
在本节课程中,我们将介绍两个比较有意思的容器攻击案例,镜像投毒与Fork炸弹。在这个课程中,我们将学习以下内容:镜像投毒:构建恶意镜像,诱导用户拉取镜像创建容器。Fork炸弹:Fork炸弹的攻击原理及防范措施。我们来介绍镜像投毒。攻击者将恶意代码注入到镜像文件中,构建出恶意镜像,当用户拉取到恶意镜像并运行容器时,恶意代码就会在容器启动过程中被执行,从而获取对容器环境的访问权限。与攻击容器应用相比,...
云原生周刊:Kubernetes v1.31 中的移除和主要变更|2024.7.22
KubeSphere
07-22 327
HwameiStor 是一款 Kubernetes 原生的容器附加存储 (CAS) 解决方案,将 HDD、SSD 和 NVMe 磁盘形成本地存储资源池进行统一管理,使用 CSI 架构提供分布式的本地数据卷服务,为有状态的云原生应用或组件提供数据持久化能力。这篇文章总结了 13 个关键的 Kubernetes 自动化技巧,涵盖了从基本任务自动化到高级操作的多个方面,例如自动伸缩、备份和恢复、CI/CD 集成、监控和日志管理等,帮助优化和简化 Kubernetes 环境的管理和运维工作。
网络故障排查实用命令及策略
本篇文章主要介绍了常用网络命令在...本文提供了实用的网络故障排查工具和技术,对IT人员在日常维护和应急响应中处理网络问题具有很高的参考价值。通过熟练掌握这些命令和方法,能够大大提高网络故障定位和解决的效率。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值