应急响应篇&近源攻击&Docker镜像&容器分析&Dockfile路径定位&基线扫描

最新推荐文章于 2025-08-02 16:17:53 发布
最新推荐文章于 2025-08-02 16:17:53 发布
阅读量947 收藏 17
点赞数 19
CC 4.0 BY-SA版权
分类专栏: 应急响应 文章标签: docker 容器 运维 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45694932/article/details/147349962

在这里插入图片描述

Docker应急

Docker拉取的镜像被攻击者拿下,植入后门或挖矿等恶意应用,那么该如何应急?
1、启动镜像
例子1:docker run -itd --restart=always -e POOL_URL=pool.supportxmr.com:5555 -e POOL_USER=45rfqYG9iNPddvenLpjFskJUhFgqBkdhDeah3X8D8ZJM3KpKqZWCLz3ewLsVd269tZiEyQRV53Ldv2DJb6xeuFokF7SBb1p --name xmrig pmietlicki/xmrig
例子2:
git clone https://github.com/vulhub/vulhub.git
cd vulhub/shiro/CVE-2016-4437
docker compose up -d

2、镜像分析
使用docker history命令查看指定镜像的创建历史,加上–no-trunc,就可以看到全部信息。
docker history pmietlicki/xmrig

使用dfimage从镜像中提取Dockerfile,在这里可以清晰地看到恶意镜像构建的过程
dfimage -sV=1.36 pmietlicki/xmrig

查看镜像的配置信息
docker inspect --format=‘{{json .Config}}’ pmietlicki/xmrig

获取镜像的运行路径
docker inspect --format=‘{{.GraphDriver.Data.LowerDir}}’ pmietlicki/xmrig

3、处置镜像
查看镜像:docker ps
进入镜像:docker exec -it xxxxx /bin/bash
暂停镜像:docker pause <容器ID>
删除镜像:
docker rm -f
docker rmi <IMAGE_NAME>

4、基线检测
https://github.com/anchore/grype/releases
rpm -ivh grype_0.80.0_linux_amd64.rpm
grype
grype --scope all-layers

https://github.com/aquasecurity/trivy
wget https://github.com/aquasecurity/trivy/releases/download/v0.54.1/trivy_0.54.1_Linux-64bit.deb
sudo dpkg -i trivy_0.54.1_Linux-64bit.deb
trivy image xxx:xxxx

docker 挖矿木马应急响应

服务器发现异常
top发现cpu占比过高的进程怀疑挖矿病毒
kill -9 ,发现该进程kill不掉
ps -aux 找到对应path 跟踪path 发现此路径不存在
又发现进程中运行了systemed 说明存在docker容器,怀疑挖矿病毒是在docker里
docker ps 查看存在的镜像
docker history <docker_name> --no -trunc 查看指定镜像的历史创建信息,包括创建时加载了哪些命令,配合grep搜素查找关键词
进入docker镜像 docker exec -it <镜像id> /bin/bash
进去之后查看执行查看进程命令 ps -aux 会发现病毒运行的pid
kill 如果kill不掉进程
用dfimage 来分析docker镜像,可以查看config信息

dfimage -sV=1.36 pmietlicki/xmrig

docker inpsect 也可查看docker里的配置信息和镜像在磁盘中的运行路径

docker inspect --format=‘{{.GraphDriver.Data.LowerDir}}’

docker可以看作本机和虚拟机的关系,虚拟的目录也是存放在本机磁盘上的
本地磁盘路径+docker路径就能在本机找到病毒文件进行查杀

找docker本身缺陷和漏洞(基线检查)

若是非程序的后门连接要使用监听工具监听docker的网络行为
docker 镜像应用扫描器来做极限检查trivy和grype

Docker (二):镜像容器导入导出与私有仓库搭建
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!✨
08-17 5万+
🟢 Docker (二):镜像容器导入导出与私有仓库搭建
Docker(十二):容器镜像的导入和导出
热门推荐
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!✨
03-14 5万+
🟢 Docker(十二):容器镜像的导入和导出
应急响应-Linux
sechelper的博客
01-11 858
应急响应指遇到重大或突发事件后所采取的措施和行动。应急响应所处置的突发事件不仅仅包括硬件、产品、网络、配置等方面的故障,也包括各类安全事件,如:黑客攻击、木马病毒、勒索病毒、Web攻击等。
蓝队技能-应急响应&Docker镜像&容器分析&Dockfile路径定位&基线扫描
SuperherRo的博客
09-19 856
应急响应-Docker镜像-应急&分析
Docker 容器应急
5L2g556F5ZWl77yf
10-12 1496
在使用traceroute查看路由后,我发现,容器在出网关后到了192.168.68.2,该ip为物理机物理网卡网关,意思是,该容器,从容器虚拟网关出来后直接到了物理机网关,跳过了docker0网卡,所以使用tcpdump -i docker0抓取该容器流量是抓不到的。在宿主机上通过netstat -an 是看不到容器内的网络连接的,而一台台进入容器查看网络连接,排查效率很慢,而且很多容器没有安装net-tools工具,没有netstat工具。暂停容器中的进程,包括后台,守护进程等,文件系统运行状态不变。
Docker 恶意挖矿镜像应急实例
09-14 7379
01、概述当网络流量监控发现某台运行多个docker容器的主机主动连接到一个疑似挖矿矿池的地址时,需要快速响应和排查,以阻止进一步的损害。面对docker容器的场景下,如何快速分析和识别恶意挖矿容器?本文将分享一种应急响应思路,用于排查运行多个Docker容器的主机中可能存在的恶意挖矿容器。02、定位容器在宿主机上通过netstat -an 是看不到容器内的网络连接的,而一台台进入容器查看网络连接...
Docker容器挖矿应急实例
08-07 761
01、概述很多开源组件封装成容器镜像进行容器化部署在提高应用部署效率和管理便捷性的同时,也带来了一些安全挑战。一旦开源系统出现安全漏洞,基于资产测绘就很容易关联到开源组件,可能导致被批量利用。在本文中,我们将分享一个真实的Docker容器应急实例,涉及到基于开源组件漏洞披露的前后时间段内,容器遭遇挖矿程序植入的情况。我们将深入分析排查过程,还原入侵的步骤和手段,帮助读者了解应对挖矿程序入侵的实际应...
容器 & Docker & Docker镜像 & Docker容器的关系和区别
qunyaoaiziji的博客
05-21 6400
文章目录 最近在学docker,挖个坑,写一些dock 儿相关的内容
Docker镜像文件、容器、卷和网络存放位置
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!✨
09-16 9591
Docker镜像和其他本地资源主要存放在`/var/lib/docker/`目录下。
2024最新Docker容器更换apt-get镜像源----debian&ubuntu
小鱼干儿的博客
08-12 4222
2024最新Docker容器更换apt-get镜像源----debian&ubuntu 因为新版本的系统软件源配置文件的的方式发生了改变,原来的修改方式已经失效了,新系统必须使用DEB822的格式修改配置文件
Docker 容器入侵排查
06-14 2664
随着越来越多的应用程序运行在容器里,各种容器安全事件也随之发生,例如攻击者可以通过容器应用获取容器控制权,利用失陷容器进行内网横向,并进一步逃逸到宿主机甚至攻击K8s集群。容器的运行环境是相对独立而纯粹,当容器遭受攻击时,急需对可疑的容器进行入侵排查以确认是否已失陷,并进一步进行应急处理和溯源分析找到攻击来源。在应急场景下,使用docker命令可以最大程度利用docker自身的特性,快速的获取相关...
记一次挖矿病毒的应急响应
weixin_45885440的博客
03-30 4163
记一次挖矿病毒的应急响应
使用 Grype 检查 .jar 包中的漏洞
weixin_43652507的博客
09-10 1849
使用 Grype 可以轻松扫描 Java .jar 包中的安全漏洞
【亲测免费】 探索安全漏洞的利器:Grype——容器镜像与文件系统的安全扫描
gitblog_00025的博客
05-11 742
探索安全漏洞的利器:Grype——容器镜像与文件系统的安全扫描器 在数字化世界中,确保软件的安全性至关重要。Grype 是一个强大的开源工具,专为容器镜像和文件系统设计,用于检测已知的安全漏洞。它与 Syft 配合使用,后者是一个强大的软件物料清单(Software Bill of Materials, SBOM)生成工具。让我们深入了解这个项目,并了解它如何帮助我们保障应用程序的安全。 项目简介...
应急响应》记一次“XMR门罗币挖矿木马病毒”处置
1
11-03 3166
故事的起因于26号下午做渗透测试时,登录跳板机发现CPU进程拉满到200%,qiao哥看了一眼直接说是XMR挖矿,这句话勾引起我的兴趣,由于应急是我的薄弱项也没有时间深入学习,所以有本应急分析文章。
Linux go语言配置
weixin_50217210的博客
10-11 497
输入 go version 查看版本。移动go到 /usr/local/先从go官方下载源码。
docker容器_Docker 容器逃逸漏洞
weixin_35207054的博客
12-27 275
2020年12月1日,阿里云应急响应中心监测到 containerd 官方发布安全更新,修复了 Docker 容器逃逸漏洞(CVE-2020-15257)。漏洞描述Containerd 是一个控制 runC 的守护进程,提供命令行客户端和 API,用于在一个机器上管理容器。在特定网络条件下,攻击者可通过访问containerd-shim API,从而实现Docker容器逃逸。阿里云应急响...
Docker容器时代安全实践
wzlsunice88的博客
12-11 1002
Docker容器时代安全实践 互联网安全团队 OPPO安全应急响应中心    Docker容器安全实践   随着容器时代Docker技术的近年来高速发展, Google、Amazon等各大公司接连发布基于容器Docker的新业务,云计算进入Docker容器时代,那么Docker容器技术下给安全防御体系带来哪些挑战和变化呢?  以下OPPO互联网安全团队基于Docker容器技术的安全实践,...
ubuntu22.04离线一键安装gpu版docker
最新发布
Joemt
08-02 305
可以自定义自己的docker镜像安装位置,并且添加用户组,不用root权限执行。1、安装ubuntu22.04系统。4、直接执行脚本文件,一键部署。一键部署docker脚本。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值