记一次docker 容器被黑总结

最新推荐文章于 2024-08-08 16:15:46 发布
最新推荐文章于 2024-08-08 16:15:46 发布
阅读量992 收藏
点赞数
文章标签: 运维 python
原文链接:https://my.oschina.net/u/1188877/blog/1501269
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

前记

很久没写文章了,一是因为自己的知识较为零散,另一个就是比较懒了,大多都零碎记录在了本地。

很久没有登录osc,登录的时候发现账号被冻结了,激活才能使用,这个安全功能给个赞,不过貌似存在邮件轰炸功能,可测,不表于此。

今天就简单说下最近遇到的一次业务jenknis docker容器被黑后排查的故事。

初步分析

1. 进入主机,排查history文件,进程,系统命令,常见文件,网络通信等基本方面。
2. ps/netstat/psof等系统命令文件被替换、存在异常进程名、存在大量异常端口通信、/tmp、/etc等目录存在可疑文件。
3. 从以上等特征初步分析为gates系列木马变种,含挖矿与ddos功能。
4. 根据业务已有对外网开放的服务及其他方面确认,此次被黑是因为5月份出现的jenknis反序列化漏洞导致,所以在history文件也就没有找到太多有价值的东西。

专向docker

既然系统本身没有太多日志,而且鉴于漏洞的利用方式,转向排查docker jenknis容器的日志或系统的syslog日志(syslog日志不排除被删)。

docker logs

# 查看容器2eb09877d1b0的运行日志,默认来自系统的/dev/stderr和/dev/stdout
docker logs 2eb09877d1b0

# 查看容器2eb09877d1b0 2017-06-17日开始的100条日志
docker logs -f -t --since="2017-06-17" --tail 100  2eb09877d1b0 

# 上面语句可能存在一个问题,无法导出含stderr的docker logs、无法grep查看docker logs日志
# grep查看含有特定字符的日志行
docker logs 2>&1 | grep hello
docker logs 2>/dev/null | grep hello

# 导出docker logs,查找docker 容器日志存放目录
docker inspect --format='{{.LogPath}}' 2eb09877d1b0

调查结果

从docker容器日志里可以详细看到每一次jenknis报错信息中含有的攻击者执行的命令字符串,至此基本确定了最早的攻击时间和攻击流程。

未完成的遗憾

一次完美的溯源应该是查清谁于什么时间通过什么方式黑进来,做了什么事情。
而此次溯源中出现了一点不完美是因为docker logs没有记录源ip。

后来查询官方文档后,自定义了docker logs记录的数据来源与日志格式,详细参考:
https://github.com/nginxinc/docker-nginx/blob/8921999083def7ba43a06fabd5f80e4406651353/mainline/jessie/Dockerfile#L21-L23
https://docs.docker.com/engine/admin/logging/view_container_logs/

转载于:https://my.oschina.net/u/1188877/blog/1501269

weixin_34297300
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
docker 踩坑录】
qq_39120398的博客
06-17 152
centos安装docker 拉取镜像 创建php容器 创建nginx容器并关联php容器 -p 8083:80: 端口映射,把 nginx 中的 80 映射到本地的 8083 端口。 /docker-fist/nginx/www: 是本地 html 文件的存储目录,/usr/share/nginx/html 是容器内 html 文件的存储目录。 /docker-fist/nginx/conf/conf.d: 是本地 nginx 配置文件的存储目录,/etc/nginx/conf.d 是容器内 n
容器】初识Docker
不务正业的野猴子
04-27 305
官网关于Docker的介绍: Docker overview 资料: 每天5分钟玩转容器技术 尚硅谷-docker快速入门基础 先看一下官网上关于Docker架构的图片 图(1) Registry: 表示远程镜像仓库,如官方的镜像仓库或各个公司搭建的镜像仓库。里面存储的都是各种制作好的镜像(image)。 Client: 表示执行docker命令的终端 Docker_Host: 表示运行docker服务的宿主机 Docker_daemon: docker的守护进行,用于接收客户端发送的命令 客户端执行下载
docker中的mysql容器数据被复原操作
qq_42369064的博客
05-26 868
此操作为安装数据库时开启了binlog的恢复操作,通过mysql自带的mysqlbinlog工具进行文件解析复原数据库。由于docker mysql镜像中没有mysqlbinlog工具,所以借助本地数据库自带的mysqlbinlog进行解析。
docker容器漏洞环境清理
weixin_51712979的博客
04-11 272
在我们使用docekr搭建漏洞靶场的时候,往往要下载很多镜像,而这些镜像的内存也不小,我个人使用平均两个漏洞就要花费1G内存,不及时清理内存很快就满了,分享一下个人觉得好用的清理方法,希望能对你有帮助。 docker-compose up -d 下载打开一个环境 docker-compose down 关闭环境,但是不会清除缓存 docker system df 查看已下载的容器的个数和大小 docker images 查看已下载的环境信息 docker rmi 【输入要删除的REPOSITORY名字+
腾讯云上用docker部署的MySQL被了(“Host ‘81.69.31.243‘ is not allowed to connect to this MySQL server“)
小码农吗
12-19 796
之前用的一直好好的,今天跑程序的时候忽然报错 异常: Cause: java.sql.SQLException: null, message from server: “Host’81.69.31.243’ is not allowed to connect to this MySQL server” 然后登上服务器,进入docker 查看 docker ps // 查看运行时容器 容器正在运行,进入MySQL,注意换成自己的容器id docker exec -it a54685121f.
ls it going on----------docker通讯安全
Laiyunpeng666的博客
11-17 238
docker通讯安全 一、虚拟机和docker之间的区别 1、隔离与共享 虚拟机通过添加 Hypervisor 层,虚拟出网卡、内存、CPU 等虚拟硬件,再在其上建立 虚拟机,每个虚拟机都有自己的系统内核。 而 Docker 容器则是通过隔离的方式,将文件系 统、进程、设备、网络等资源进行隔离,再对权限、CPU 资源等进行控制,最终让容器之间互不影响,·容器无法影响宿主机。容器与宿主机共享内核、文件系统、硬件等资源。 2、性能与损耗 与虚拟机相比,容器的资源损耗要小的多 同样在宿主机之下,能够建立的容器
docker开启远程引来
西西工作室
12-07 1076
#环境 云服务器开放所有端口 docker开放远程 引导客来干服务器,来看看开放docker远程 客都干了些啥 #稍等几小时,客就上门啦O(∩_∩)O,扫描端口和下载镜像要一段时间,容器打包出来有500GB大。 #客创建的ubuntu容器 #开始啦,CPU占用99.9% 引导客来干服务器,来看看开放docker远程 客都干了些啥 #https的地址是矿场地址,端口2375地址应该是客控制的docker主机,位置都在印度尼西亚 引导客来干服务器,来看看开放docker远程 客都干了些
一看就懂-Docker容器
02-24
docker的英文意思是码头工人,意思就是搬运东西的意思,其实这和docker的特点是一样的,docker提供的就是一种容器化搬运东西(我们的软件、程序)的过程。docker自己本来是运行在操作系统上一个程序软件,它会提供一...
docker容器学习总结 上传版.docx
02-12
docker 容器学习总结 Docker 是一个开发、发布和运行应用程序的开放型平台,能够将应用程序与基础架构分离,以便达到快速交付的目的。下面是 Docker 容器学习总结中的重要知识点: 一、虚拟化技术 虚拟化是一种...
Linux上创建、列出、删除Docker容器方法总结
01-20
这将启动一个新的容器,并为你提供使用/bin/bash shell访问该容器的权限。 # docker run [OPTIONS] <IMAGE> [COMMAND] [ARG...] 例如,下面的命令将使用名为“ubuntu”的图像创建新的docker容器。要列出所有可用...
Docker暴露2375端口导致服务器被攻击问题及解决方法
09-29
主要介绍了Docker暴露2375端口导致服务器被攻击问题及解决方法,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
Docker 容器容器云(高清扫描版)
01-09
从实践者的角度出发,以Docker和Kubernetes为重点,沿着“基本用法介绍”到“核心原理解读”到“高级实践技巧”的思路,一本书讲透当前主流的容器容器云技术,有助于读者在实际场景中利用Docker容器容器云解决...
修改已有docker容器中的内容方法
01-08
一、docker ps 列出容器 二、docker cp 拷贝文件至容器 注:docker中宿主机与容器(container)互相拷贝传递文件的方法 1、从容器拷贝文件到宿主机 docker cp mycontainer:/opt/testnew/file.txt /opt/test/ 2...
容器安全防线】Docker攻击方式与防范技术探究
wangluoanquan111的博客
07-29 356
Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的镜像中,然后发布到任何流行的Linux或Windows操作系统的机器上,也可以实现虚拟化。容器是完全使用沙箱机制,相互之间不会有任何接口。一个完整的Docker有以下几个部分组成:1、DockerClient客户端2、Docker Daemon守护进程3、Docker Image镜像4、DockerContainer容器
寄生于 Docker 的病毒 - Kinsing
u012359651的博客
02-22 1919
原创发表于 DavidZ Blog,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接及本声明。 前言 2020 年开年不顺,2019 新型冠状病毒肺炎爆发,从年三十居家隔离到了正月十五,没想到自己的服务器也”感染“上了病毒 - Kinsing(进程的名字,姑且这样称呼)。 发现 偶然看了看服务器状态,发现 CPU 占用一直保持在 100%上下,有些蹊跷。 难道是我的博客...
Docker未授权攻击利用复现
echoonly1999的博客
08-31 286
环境配置 受害机:CentOS 攻击者:kali 配置docker配置文件,使得测试机存在未授权访问 vim /usr/lib/systemd/system/docker.service 原本[Service] ExecStart参数 修改为 ExecStart=/usr/bin/dockerd -H tcp://0.0.0.0:2375 -H unix://var/run/docker.sock 重启docker服务 systemctl daemon-reload systemctl restart d
Docker 容器真的安全么?
yamaxitas的专栏
07-07 1102
Docker 并没有做到对系统的完全隔离,Linux内核中未被namespace化的资源,存在安全隐患,请不要在docker 容器中以root运行应用。
docker未授权漏洞蜜罐模拟与捕获分析
include_voidmain的博客
08-09 420
docker未授权漏洞蜜罐模拟与捕获分析
Linux磁盘管理与文件系统(一):磁盘、MBR与分区和文件系统
最新发布
shyuu的博客
08-08 1018
Linux磁盘管理与文件结构(一),理论讲解磁盘结构、MBR与分区和文件系统
写一份轻量级虚拟化docker容器实战实验总结
05-27
好的,以下是关于轻量级虚拟化Docker容器实战实验总结Docker是一种轻量级虚拟化技术,可以帮助我们构建、发布和运行分布式应用程序。以下是一些实验,可以帮助您了解Docker容器的基本操作和使用。 实验1:安装...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值