J'ai hébergé une application web sur jelastic (dogado) en tant que conteneur docker (le conteneur docker officiel link). Après 2 semaines, je reçois un e-mail:Docker tomcat8-jre8 piraté?
Cher client Jelastic, il y avait un processus de la commande «/usr/local/tomcat/3333 », qui envoyait des paquets énormes à cibles différentes ce matin. Les symptômes ressemblent à l'instance Docker a un trou de sécurité et a été utilisé dans une attaque DDoS ou une partie de un botnet.
La commande supérieure a montré ce processus:
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 334 root 20 0 104900 968 456 S 99.2 0.1 280:51.95 3333
[email protected]:/# ls -al /proc/334 ... lrwxrwxrwx 1 root root 0 Jul 26 08:16 cwd -> /usr/local/tomcat lrwxrwxrwx 1 root root 0 Jul 26 08:16 exe -> /usr/local/tomcat/3333
Nous avons tué le processus et a changé les permissions du fichier:
[email protected]:/# kill 334 [email protected]:/# chmod 000 /usr/local/tomcat/3333
S'il vous plaît enquêter ou utiliser une plus grande sécurité modèle de docker hardenend.
Est-ce que quelqu'un a déjà rencontré le même problème ou un problème similaire auparavant? Est-il possible que le conteneur ait été piraté?
Cela ne répond pas vraiment à la question. La question était essentiellement "que s'est-il passé?", Pas "que faire?" – Roman