前言
目前docker容器搭建数据库或者一些常见的服务已经成为常态,但同时也提升了docker易受到攻击的可能性,当docker被攻击导致权限丢失,或者说被植入了恶意程序,我们要如何进行应急响应呢?
挖矿容器应急
top判断是否挖矿
docker run -itd --restart=always -e POOL_URL=pool.supportxmr.com:5555 -e POOL_USER=45rfqYG9iNPddvenLpjFskJUhFgqBkdhDeah3X8D8ZJM3KpKqZWCLz3ewLsVd269tZiEyQRV53Ldv2DJb6xeuFokF7SBb1p --name xmrig pmietlicki/xmrigtop查看对应xmrig的进程
ps -aux | grep xmrig
发现kill进程之后仍然存在
看到命令是当前目录下执行,可是我们并没有xmrig这个文件,那么到底在哪执行的?
判断存在权限维持技术,但是我们在top命令中看到了systemd这个进程,说明存在docker容器
查看容器历史命令
那么我们可以看看docker容器也没有
docker psdocker history pmietlicki/xmrig
发现里面确实有xmrig(门罗币挖矿)这个关键字,说明很可能是这个容器在运行挖矿程序
使用dfimage从镜像中提取Dockerfile
alias dfimage="docker run --rm -v /var/run/docker.sock:/var/run/docker.sock alpine/dfimage"dfimage -sV=1.36 pmietlicki/xmrig在这里可以清晰地看到恶意镜像构建的过程
拿到钱包地址
查看镜像的配置信息
docker inspect --format='{{json .Config}}' pmietlicki/xmrig
实锤恶意文件
docker exec -it 566b0075a5eb /bin/bash
发现确实存在这个文件,我们将文件取出来
docker cp 566b0075a5eb:/home/miner/xmrig/build/xmrig .
实锤是门罗币挖矿程序
应急处置
进入docker删除恶意程序,然后kill进程,排查权限维持即可。根据上述的内容将分析定性的过程与应急处置的流程整合即可输出报告
docker inspect --format='{{.GraphDriver.Data.LowerDir}}' pmietlicki/xmrigWeb后门应急
git clone https://github.com/vulhub/vulhub.git
cd struts2/s2-046/
docker-compose build
docker compose up -d
上传哥斯拉JSP后门
在这时候告警给蓝队成员,如何快速定性web后门,然后清除后门呢?
对web目录进行扫描
docker cp hm 4561089630e6:/tmp/hm-linux-amd64 #河马查杀脚本
通过哥斯拉可知网站根目录为/usr/src,直接通过河马扫描
./hm-linux-amd64 scan /usr/src/定性存在webshell
应急处置
rm删除后门文件即可
对docker容器进行基线检查
wget https://github.com/aquasecurity/trivy/releases/download/v0.54.1/trivy_0.54.1_Linux-64bit.deb
sudo dpkg -i trivy_0.54.1_Linux-64bit.deb
# trivy image 容器名称(docker ps -a 获取)
trivy image vulhub/shiro:1.2.4
评论 (0)