Docker引起的漏洞问题

最新推荐文章于 2024-07-20 13:32:05 发布
最新推荐文章于 2024-07-20 13:32:05 发布
阅读量1.1k 收藏 16
点赞数 31
分类专栏: 生产实际遇到问题 文章标签: docker 容器 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zxc_user/article/details/139600717
版权

前言

         测试环境上的中间件和java应用都是由docker进行部署的,但是因为docker的镜像访问有时候需要外网,由此引发了问题,在docker文件中 /usr/lib/systemd/system/docker.service

原有的配置为,可以看到进行了加密

ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/etc/docker/ca.pem --tlscert=/etc/docker/server-cert.pem --tlskey=/etc/docker/server-key.pem -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock

修改配置为:

ExecStart=/usr/bin/dockerd -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock --registry-mirror=https://f2kob4mc.mirror.aliyuncs.com

          就因为以上的修改了,导致了服务器中了病毒,收到的告警信息如下

具体信息

1.  告警信息

测试和构建服务器/10.19.16.123[{instanceId=i-wz9ddqdfdsfdsfsdfdfdfpz9, userId=22132311}] ,(ECS)同时连接数最大值>=3000个  当前值: 48603个  告警规则同时连接数 请登录云监控查看

2. 服务器推送

3. ECS访问数量图

               综上所述, 问题出现在了ecs连接数过高上引起的问题

解决

        参考文章: 

Linux中招挖矿木马如何处置,附带解决方案_linux.risktool.bitcoinminer.msmw-CSDN博客

阿里云服务器被pnscan挖矿病毒入侵如何解决?-CSDN博客

systemd占用大量 CPU 或内存资源_systemd-journal cpu占满-CSDN博客

Docker 恶意挖矿镜像应急实例-腾讯云开发者社区-腾讯云

核心步骤

1. 查看 /etc/ld.so.preload 文件,发现有异常的文件配置,如下

        根据文章描述是把真实的top进行了隐藏,因此我们需要把这几个文件进行删除

2. 然后再进行top,就可以看到臭名昭著的 pnscan (挖矿进程),把进程停掉,然后相关的信息也删除,看看/etc/crontab有没有定时任务,有也删掉,以及看看在  /etc/systemd/system文件夹中有没有可疑的文件(重要),有也删掉

3. 当进行了2步操作后ECS的访问数就瞬间下来了,但是出现了一个systemd-journald占用进程,资料上说这是系统自带的,目前怀疑是因为删掉了挖矿的脚本后导致找不到文件一直报错

4. 对系统进行重启(或者解决systemd-journald高占用)问题,最终恢复了正常

其他

        重启后重新安装docker和docker-compose组件,有可能是在删除挖矿脚本时删除了一些相关的文件

结语

        在使用公网服务器时要注意安全问题,以前比较常见的是redis不配置密码也会引起这种挖矿问题,这次是docker没有配置密钥或者暴漏了以前病毒植入,这方面的知识可以研究研究

zxc_user
关注
  • 31
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
docker安全
Yusheng9527的博客
03-16 834
docker安全 Docker存在的安全问题Docker自身漏洞Docker源码问题Docker架构缺陷与安全机制Docker安全基线标准内核级别主机级别网络级别镜像级别容器级别其他设置容器相关的常用安全配置方法容器最小化Docker远程API访问控制在docker服务配置文件指定监听内网ip重启 Docker在宿主机的firewalld上做IP访问控制在客户端上实现远程授权访问限制流量流向镜像安全 Docker存在的安全问题 Docker自身漏洞 作为一款应用Docker本身实现上会有代码缺陷。CVE官
Docker暴露2375端口,引起安全漏洞
02-26
今天有小伙伴发现docker暴露出2375端口,引起了安全漏洞。我现在给大家介绍整个事情的来龙去脉,并告诉小伙伴们,怎么修复这个漏洞。为了实现集群管理,Docker提供了远程管理接口。DockerDaemon作为守护进程,运行在...
Docker 被禁?还有千千万万个 Docker 起来!!
勇往直前的专栏
08-22 2760
来源:安全牛 地址:https://www.aqniu.com/news-views/69501.html 众所周知,在全球范围内,Docker已经发展成为云计算的核心技术之一。 作为流行的容器管理技术,Docker的最大优点是能将应用与计算环境分离,允许开发者在同一台计算机上使用不同的技术。 通过Docker,开发者可以使应用程序在同一服务器上运行Python、Ruby、PHP、Node JS或任何其他语言,并将每个应用程序安装在具备独立数据库引擎的单独容器中。 但是,8月13日生效的Doc.
wydevops——微服务直上K8S云就是这么简单
sichuanwuyi的专栏
06-11 1066
ci-cd.yaml: 该文件是所有配置项解析处理后的标准文件.其内存放了5个构建阶段最终的所有配置参数. 当因配置错误中断执行后, 我们想修改配置后从报错的阶段开始继续运行后面的过程时, 不能去修改ci-cd-config.yaml里面的参数,而要修改ci-cd.yaml中的参数才能其作用. 因为接续执行后面过程时-c标志会被删除, 此时不会执行从ci-cd-config.yaml读取参数的过程了.》介绍了wydevops本地工作模式下,直接从源码生成docker镜像并在配置的节点上运行起来。
CVE Docker逃逸漏洞的复现
8888的博客
06-15 704
它允许开发者将他们的应用及其依赖包打包到一个可移植的镜像中,然后发布到任何流行的Linux或Windows操作系统的机器上,并且实现虚拟化。docker可以安装软件,也可以安装一个操作系统。需要在不同操作系统中引入一个中间层,中间层很多版本,可以在Windows、Linux、centos等等的不同操作系统之间引入一个中间层,可以用来屏蔽底层环境的差异。靶机:需要先运行一个拥有命令行的镜像比如 ubuntu:18.04 ,我们需要在进入镜像,在容器的命令行执行下载远程恶意文件,我们给他增加权限,然后执行。
Docker存在的安全问题,如何解决?
weixin_42449832的博客
03-17 1333
文章目录一、Docker 容器与虚拟机的详细区别二、Docker 存在的安全问题2.1 Docker 自身漏洞2.2 Docker 源码问题三、Docker 架构缺陷与安全机制四、Docker 安全基线标准4.1 内核级别4.2 主机级别4.3 网络级别4.4 镜像级别4.5 容器级别4.6 其他设置五、Docker 远程调用与流量限制5.1 Docker remote api 访问控制5.2 限制流量流向六、容器最小化与镜像安全6.1 容器最小化6.2 镜像安全 一、Docker 容器与虚拟机的详细区别
CVE漏洞复现-CVE-2019-5736 Docker逃逸
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
04-22 3366
Docker 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的Linux或Windows操作系统的机器上,也可以实现虚拟化,容器是完全使用沙箱机制,相互之间不会有任何接口Docker环境和普通生产环境的差异在哪呢?举个列子,在普通的生产环境中,我们程序员写的代码产品在开发环境中能够运行起来,但却在测试环境中很容易出现各种的Bug,报错,这是因为两个环境中机器的配置和环境不一样所导致的而Docker的出现解决了这一差异性的问题
Docker容器逃逸
weixin_44720441的博客
08-23 1172
Docker容器逃逸指的是攻击者通过劫持容器化业务逻辑或直接控制(CaaS等合法获得容器控制权的场景)等方式,已经获得了容器内某种权限下的命令执行能力;攻击者利用这种命令执行能力,借助一些手段进而获得该容器所在的直接宿主机(当遇到“物理机运行虚拟机,虚拟机再运行容器”的场景时,该场景下的直接宿主机指容器外层的虚拟机)上某种权限下的命令执行能力。
Docker---docker中存在的一些安全问题
大E了的博客
11-17 1761
文章目录一:容器与虚拟机的区别二:Docker存在的安全问题三:Docker 架构缺陷与安全机制四:Docker 安全基线标准4.1:内核级别4.2:主机级别4.3:网络级别4.4:镜像级别4.5:容器级别4.6:其他设置五:其他需要主义的事项5.1:容器最小化5.2:Docker remote api 访问控制 一:容器与虚拟机的区别 不同点 container VM 启动速度 秒级 分钟级 运行性能 接近原生(直接在内核中运行) 5%左右损失 磁盘占用 MB GB 数量 成
Docker容器逃逸总结
SHELLCODE_8BIT的博客
03-12 2127
3.1 特权容器,特权容器下,所有capabiltiy都拥有,并且对设备/dev可见。1.1 条件竞争类dirtypipe + dac_search,dirtycow。以下几个如果被挂载,都会被可写,造成逃逸。1.2 内核漏洞,uaf等等。
生产环境中安全运行Docker容器
01-11
尽管不可变性可以阻止任何恶意脚本的执行,可以禁止通过在容器里运行的其他软件暴露出来的漏洞引起的改动。但是在现实生产环境中,这种模式又是不是适用于应用程序呢?比如,要产生的日志文件和要使用数据库
angular-cli-pug-sass-docker:一个存储库,向您展示如何在使用Docker时设置Sass,Pug和Angular CLI
05-02
有一个过时的Hoek版本(截至撰写本文时-2018年6月27日),似乎引起问题。 (以下GitHub问题已公开) 感谢 ! 为了使用最新版本,我们使用docker-compose版本3.6。 没有特殊的语法,因此您可以放心地对其降级...
Hades-VegaM:Windows 10上针对Intel NUC Hades Canyon的Mod AMD RX Vega M GPU驱动程序支持
04-06
4. **Windows 10兼容性**:确保驱动程序与Windows 10操作系统无缝集成,不引起系统稳定性问题。 5. **性能优化**:通过驱动程序Mod,用户可能会看到游戏帧率提升、图像质量改善或其他性能增强。 6. **安装和更新...
解决数据卷root权限问题Docker科研向实践思路
码农冰翼的小小家园
07-17 531
Docker好处多多。对用户,最大程度解决环境配置时权限困扰;对运维,方便控制资源分配调度。Docker的科研常用方法为每个用户自行创建容器,代码数据分离,数据以数据卷(Volume)的形式从宿主机(Host)挂载到工作的容器(Container)中。然而,实践中常发现宿主机视角下数据卷中文件权限被设置为root导致无法导出共享。这里分享一个实践思路来规避这个问题
docker: No space left on device处理与迁移目录
最新发布
we chat:玩转测试开发
07-20 261
工作中当遇到Docker容器内部的磁盘空间已满。可能的原因包括日志文件过大、临时文件过多或者是Docker容器的存储卷已满,需要我们及时清理相关文件,并对docker的路径进行迁移。
DockerDocker-compose 单机容器集群编排工具
F12138X的博客
07-18 1563
顽强的毅力可以征服世界上任何一座高峰
docker替换主程序排错
1853
07-17 233
背景:经常会遇到主程序启动错误,导致无法进入到容器内部排错。
Docker安全漏洞:逃逸机制解析
1. **及时更新Docker和相关软件**:保持软件版本最新,修复已知安全漏洞。 2. **限制容器权限**:避免容器运行root权限的进程,使用非root用户运行容器。 3. **最小化镜像**:使用只包含必要组件的基础镜像,减少...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值