应急响应-Docker容器应急 前言目前docker容器搭建数据库或者一些常见的服务已经成为常态，但同时也提升了docker易受到攻击的可能性，当docker被攻击导致权限丢失，或者说被植入了恶意程序，我们要如何进行应急响应呢？挖矿容器应急top判断是否挖矿docker run -itd --restart=always -e POOL_URL=pool.supportxmr.com:5555 -e POOL_USER=45rfqYG9iNPddvenLpjFskJUhFgqBkdhDeah3X8D8ZJM3KpKqZWCLz3ewLsVd269tZiEyQRV53Ldv2DJb6xeuFokF7SBb1p --name xmrig pmietlicki/xmrigtop查看对应xmrig的进程ps -aux | grep xmrig发现kill进程之后仍然存在看到命令是当前目录下执行，可是我们并没有xmrig这个文件，那么到底在哪执行的？判断存在权限维持技术，但是我们在top命令中看到了systemd这个进程，说明存在docker容器查看容器历史命令那么我们可以看看docker容器也没有docker psdocker history pmietlicki/xmrig发现里面确实有xmrig（门罗币挖矿）这个关键字，说明很可能是这个容器在运行挖矿程序使用dfimage从镜像中提取Dockerfilealias dfimage="docker run --rm -v /var/run/docker.sock:/var/run/docker.sock alpine/dfimage"dfimage -sV=1.36 pmietlicki/xmrig在这里可以清晰地看到恶意镜像构建的过程拿到钱包地址查看镜像的配置信息docker inspect --format='{{json .Config}}' pmietlicki/xmrig实锤恶意文件docker exec -it 566b0075a5eb /bin/bash发现确实存在这个文件，我们将文件取出来docker cp 566b0075a5eb:/home/miner/xmrig/build/xmrig .实锤是门罗币挖矿程序应急处置进入docker删除恶意程序，然后kill进程，排查权限维持即可。根据上述的内容将分析定性的过程与应急处置的流程整合即可输出报告docker inspect --format='{{.GraphDriver.Data.LowerDir}}' pmietlicki/xmrigWeb后门应急git clone https://github.com/vulhub/vulhub.git cd struts2/s2-046/ docker-compose build docker compose up -d上传哥斯拉JSP后门在这时候告警给蓝队成员，如何快速定性web后门，然后清除后门呢？对web目录进行扫描docker cp hm 4561089630e6:/tmp/hm-linux-amd64 #河马查杀脚本通过哥斯拉可知网站根目录为/usr/src，直接通过河马扫描./hm-linux-amd64 scan /usr/src/定性存在webshell应急处置rm删除后门文件即可对docker容器进行基线检查GitHub - aquasecurity/trivy: Find vulnerabilities, misconfigurations, secrets, SBOM in containers, Kubernetes, code repositories, clouds and morewget https://github.com/aquasecurity/trivy/releases/download/v0.54.1/trivy_0.54.1_Linux-64bit.deb sudo dpkg -i trivy_0.54.1_Linux-64bit.deb # trivy image 容器名称(docker ps -a 获取) trivy image vulhub/shiro:1.2.4