1. Accueil
  2. Question et réponse
  3. Docker tomcat8-jre8 piraté?

Docker tomcat8-jre8 piraté?

2016-09-08 2 views
0

J'ai hébergé une application web sur jelastic (dogado) en tant que conteneur docker (le conteneur docker officiel link). Après 2 semaines, je reçois un e-mail:Docker tomcat8-jre8 piraté?

Cher client Jelastic, il y avait un processus de la commande «/usr/local/tomcat/3333 », qui envoyait des paquets énormes à cibles différentes ce matin. Les symptômes ressemblent à l'instance Docker a un trou de sécurité et a été utilisé dans une attaque DDoS ou une partie de un botnet.

La commande supérieure a montré ce processus:

PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 
334 root 20 0 104900 968 456 S 99.2 0.1 280:51.95 3333 

[email protected]:/# ls -al /proc/334 
... 
lrwxrwxrwx 1 root root 0 Jul 26 08:16 cwd -> /usr/local/tomcat 
lrwxrwxrwx 1 root root 0 Jul 26 08:16 exe -> /usr/local/tomcat/3333

Nous avons tué le processus et a changé les permissions du fichier:

[email protected]:/# kill 334 
[email protected]:/# chmod 000 /usr/local/tomcat/3333

S'il vous plaît enquêter ou utiliser une plus grande sécurité modèle de docker hardenend.

Est-ce que quelqu'un a déjà rencontré le même problème ou un problème similaire auparavant? Est-il possible que le conteneur ait été piraté?

Source

2016-09-08 Matthias Hamann

Répondre

1

Les gars qui fournissent le conteneur m'a donné un indice ...

Je ne retire que la guerre ROOT. J'ai oublié complètement que le Tomcat fournit des exemples d'applications. Donc, je dois supprimer les trous de sécurité:

RUN rm -rf /usr/local/tomcat/webapps/

Source

2016-10-10 09:18:32

-1

Utilisez-vous des outils de protection? Nous ne faisons pas exception au scénario où votre conteneur peut être piraté s'il n'y a pas de protection. Nous vous recommandons fortement d'utiliser IPtables et Fail2Ban pour protéger vos conteneurs contre les attaques de piratage (Vous avez un accès root à votre conteneur Docker en utilisant SSH, donc vous pouvez installer et configurer ces paquets), surtout si vous avez joint une adresse IP publique à vos conteneurs.

De plus, vous avez accès à tous les journaux de conteneurs (via Dashboard ou SSH), ce qui vous permet d'analyser les journaux et de prendre des mesures préventives.

Passez une bonne journée.

Source

2016-09-09 09:14:56 Jelastic

+0

Cela ne répond pas vraiment à la question. La question était essentiellement "que s'est-il passé?", Pas "que faire?" – Roman

 Questions connexes

  • Aucun problème connexe^_^