出品|MS08067实验室(www.ms08067.com)
本文作者:500(Ms08067实验室成员)
500微信(欢迎骚扰交流):
一、事件起因
上周想着部署一个分布式文件系统,我就在阿里云上申请了一台机器,部署了docker并安装Simpledfs,可不想刚云主机刚配置没两天,就发现机器的cpu使用率飙升,控制台各种告警。登录上去先看top一下看看系统的状况,发现这个bash脚本几乎占用了全部cup,估计是被黑了。
我赶紧去查看机器历史操作,通过history命令查看历史操作,发现内容已经被清空,日志文件也全部被清空,并且docker服务也被关闭了。
经过排查发现,这台机器开放了ssh服务22端口、本地smtp25端口、sshd守护进程222端口,以及docker服务的端口。对外暴露了ssh,第一个想到的就是先查看一下ssh的版本。
查看该版本中有哪些漏洞可能被攻击者利用,排查了可能被利用的OpenSSH 安全认证绕过漏洞(CVE-2016-10012)、SSH登陆验证绕过漏洞(cve-2018-10933)等漏洞的利用方法,但并没有发现可直接利用并获取到root权限的方法。
那么攻击者有没有可能利用docker的漏洞,然后从容器中逃逸出来呢?这时我想到了docker remote API未授权访问漏洞,攻击者可以利用docker API 2375端口,通过接口执行容器命令