服务应用执行可疑命令

最新推荐文章于 2024-05-21 17:34:44 发布
最新推荐文章于 2024-05-21 17:34:44 发布
阅读量664 收藏
点赞数
分类专栏: 主机安全 文章标签: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lxc408863575/article/details/120215411
版权

 1、最近时常收到阿里云安全中心的告警信息-服务应用执行可疑命令,如下图所示

 现在有时间后,可以好好研究下这个问题了。

命令行: docker-untar /home/xxx/docker/devicemapper/mnt/735440904d99308126bfc001df5750783fdd2f7f72a209c33e8d16fb9f53de72/rootfs/home/tutor/.ssh/authorized_keys null

摘自互联网:

docker-untar , 通过reexec机制来解包,打包数据流以stdin的方式传入。该实现使用Docker的reexec机制,所以必有注册的地方,来看/pkg/chrootarchive/init_unix.go:

func init() {
	reexec.Register("docker-applyLayer", applyLayer)
	reexec.Register("docker-untar", untar)
}

所以docker的”docker-untar”由untar()函数完成功能执行,untar定义在/pkg/chrootarchive/archive_unix.go中:

 

func untar() {
	runtime.LockOSThread()
	flag.Parse()
	var options *archive.TarOptions
	//read the options from the pipe "ExtraFiles"
	if err := json.NewDecoder(os.NewFile(3, "options")).Decode(&options); err != nil {
		fatal(err)
	}
	if err := chroot(flag.Arg(0)); err != nil {
		fatal(err)
	}
	//***从stdin中获取***//
	if err := archive.Unpack(os.Stdin, "/", options); err != nil {
		fatal(err)
	}
	// fully consume stdin in case it is zero padded
	if _, err := flush(os.Stdin); err != nil {
		fatal(err)
	}
	os.Exit(0)
}

untar()会调用archive包的Unpack()实现从Stdin中解包数据。Unpack()会把数据流解包到容器指定目录中。

父进程命令行: /usr/bin/docker -d --debug=true --storage-opt dm.loopdatasize=500G --storage-opt dm.loopmetadatasize=8G --storage-opt dm.mountopt=nodiscard --storage-opt dm.blkdiscard=false --selinux-enabled=false -H fd:// -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock --api-enable-cors=true -g /home/xxx/docker -p /home/xxx/docker/docker.pid --insecure-registry=hub.xxx.com:5000

通过分析告警信息,初步判断是docker进程在操作authorized_keys触发阿里云HIDS得告警

晓川吖
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
计算机应用技术(实用手册)
07-29
计算机应用技术 实用手册 Xnllz 2011.7.29 目录 第一章COMS的设置 1 1.STANDARD CMOS SETUP(标准CMOS设定)用来设定日期、时间、软硬盘规格、工作类类型。 3 2.BIOS能功设定 5 3.Advanced ...
阿里云被恶意脚本执行,疑似挖矿
weixin_46531837的博客
01-10 735
服务器,阿里云,恶意脚本,挖矿
虚拟机中发现可疑命令
含笑的依米のBlog
12-31 396
例行检查虚拟机运行情况,发现虚拟机异常,输入用户名密码登录失败,于是进入单用户模式修改密码,修改成功后,进入虚拟机,输入history命令发现有可疑命令执行。 在网上查找资料,找到挖矿程序源码:https://github.com/cnrig/cnrig 有时间需要对版本升级 ...
如何用命令行运行脚本
qq_38729452的博客
09-26 1597
如何用命令行运行脚本How to run python scripts on CMD C:…> 是windows提供的命令行模式, >>> python的交互式环境下。 在命令行模式下可以执行Python进入python交互式环境,也可以执行 python “地址”\name.py 运行一个 .py脚本文件。 ...
阿里云服务器报警-进程异常行为-访问恶意下载源
古天乐本乐的博客
08-20 1739
分享一个自己关于阿里云服务器告警的解决方法
登陆中心服务器异常,云安全中心检测和告警异常登录功能的原理
weixin_39559804的博客
07-29 3884
概述本文主要介绍云安全中心检测和告警异常登录的功能原理。详细信息以下是关于云安全中心检测、告警异常登录的功能原理和告警策略。说明:线下服务器在安装云安全Agent之后,也支持异常登录检测和告警。功能原理云安全中心异常登录功能可以检测您服务器上的登录行为,对于在非常用登录地的登录行为进行告警。高级版和企业版中可允许客户设置合法登录IP、合法登录时间、合法登录账号,在上述合法登录IP、合法登录事件、合...
服务器日常维护.doc
06-08
如果无法确定该执行文件是否是系统 正常文件并且没有其他正常开放服务依存在该服务上,可暂时停止掉该服务,然后测试 下各种应用是否正常。对于一些后门由于采用了hook系统API技术,添加的服务项目在服 务管理器中是...
pen-test-automation:使用基于插件的体系结构自动进行渗透测试的框架
01-30
一个完全实现的安全工具包装器插件可以完成三项高级工作: 将自己广告发布到PTA平台,以便了解该工具的功能和要求为可以由PTA平台执行的工具生成命令将工具的结果解析为对PTA平台和下游系统有意义的结
community:Logpresso Mini和社区内容
04-10
解析Windows .evtx文件并查找可疑的Powershell命令执行。 解析注册表配置单元文件,并找到每个连接的USB设备的历史记录。 解析apache或nginx Web日志并检测Web应用程序攻击(例如SQLi) 解析防火墙日志并检测...
2020-1-CECD3-WAS-6:任何!
05-05
大家,这个项目是关于一个自动调试器的,它可以自动在命令式程序中查找错误代码的行,并对其进行更正以满足指定的要求。 调试器由一些技术组成。 我们使用的第一种技术是故障定位。 该技术查找在执行中很可能发生...
linux取证之可疑程序分析
NFMSR的博客
07-27 1464
linux平台下可疑程序分析 对可疑恶意代码的取证需要在安全和可靠的环境中进行,应将可疑文件放置在隔离环境或者沙箱系统网络中。 检查恶意程序的准则: 建立环境基准 VMware建立模拟环境 分析之前,首先保留受害系统在可疑代码运行前的快照 同时也需要运行一个可对初始化时的系统状态和代码执行后的系统状态进行比较的工具。 Open Source Tripwire工具:用于监控数据完整性以及在...
一次简单的windows可疑进程排查
a1b2c3是弱口令
08-07 3379
0X00查看已经建立的进程 netstat -ano | find “ESTABLISHED” 0X01查看已经建立的进程 tasklist|findstr “2228”回车,查看是哪个进程或者程序占用了2228端口,或者是我们打开任务管理器,切换到进程选项卡,在PID一列查看2228对应的进程是谁,结果是:YoudaoMote.exe 结束该进程:在任务管理器中选中该进程...
docker overlay扩容
kuun993的博客
05-15 203
overlay 使用率已接近100%,导致docker容器写不了数据。
Docker:基础概念、常用命令
想听风雨的博客
05-17 500
Docker:基础概念、常用命令
Kubernetes 之 Pod 标签、节点选择器和节点亲和性
千度阿三的博客
05-18 330
我们在创建 Pod 资源的时候,Pod 会根据 Scheduler 进行调度,默认会调度到随机的一个工作节点。如果我们想要将 Pod 调度到指定节点或者调度到一些具有相同特点的 Node 节点,可以使用 Pod 中的nodeName或者字段来指定要调度到的 Node 节点。节点亲和性是 Pod 在调度过程中一系列调度约束规则,主要针对节点选择器的匹配,匹配度越高,则该节点执行该 Pod 的概率就越高。节点亲和性分为硬亲和性和软亲和性,硬亲和性代表必须满足,软亲和性在不满足约束规则的条件上,仍可以随机启动。
谷粒商城环境准备 docker
程序员三木的博客
05-16 855
版权声明:本文为CSDN博主「夕阳下美了剪影」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。原文链接:https://blog.csdn.net/qq_38401285/article/details/86483278常见问题2:cnpm - 解决 " cnpm : 无法加载文件 C:\Users\93457\AppData\Roaming\npm\cnpm.ps1,因为在此系统上禁止运行脚本。有关详细信息。。。
docker 进入容器报错OCI runtime exec failed
最新发布
Assassinhanc的博客
05-21 98
执行命令 docker exec -it 容器id /bin/sh 可进入。今天进入docker容器的时候一直报错。
docker本地(非公网)搭建gpt-4-all 和 GPTS 多模态对话页面(支持Chat Gpt4o「omni」)
缘友一世的博客
05-16 450
新模型 GPT-4o,其中的「o」代表「omni」(即全面、全能的意思),这个模型同时具备文本、图片、视频和语音方面的能力。
docker学习和常用命令
OutRoading的博客
05-14 190
镜像仓库datahub。
泛微oa 代码执行检测脚本
09-21
泛微OA代码执行检测脚本是一种用于发现和防止恶意代码执行的工具。由于泛微OA系统的安全性问题,恶意用户可能会尝试利用漏洞或其他方式执行有害的代码,以获取系统权限或窃取敏感信息。为了保护系统安全,可以使用代码执行检测脚本来进行实时监控和检测。 泛微OA代码执行检测脚本的原理是通过监控系统的代码执行行为,包括程序文件的读写、外部命令执行等,来检测是否存在不正常的行为。一旦发现异常,脚本会记录或报警,以便管理员能够及时采取相应的措施。 代码执行检测脚本可以通过监控系统日志、检测可疑文件、对用户输入进行过滤等多种手段来实现。它可以检测到恶意代码执行尝试,如SQL注入、远程命令执行等常见的攻击方式。 此外,代码执行检测脚本还可以结合其他安全措施,如防火墙、入侵检测系统等,共同形成完善的安全防护体系。管理员可以根据脚本的报警信息进行相应的安全策略调整,进一步加固系统的安全性。 总之,泛微OA代码执行检测脚本是一种非常重要的安全工具,可以有效监控和防止恶意代码的执行。它的应用可以提高系统的安全性,保护企业和用户的利益,减少信息泄露和系统被攻击的风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值