Ich habe eine Web-App auf Delastic (dogado) als Docker Container gehostet (der offizielle Docker Container link). Nach 2 Wochen erhalte ich eine E-Mail:Docker tomcat8-jre8 gehackt?
Lieben Jelastic Kunden, ein Prozess des Befehls dort „/ usr/local/tomcat/3333“ war, die heute Morgen massive Pakete an verschiedene Ziele sendete. Die Symptome sehen aus wie der Docker Instanz hat eine Sicherheitslücke und wurde in einem DDoS-Angriff oder Teil eines Botnetzes verwendet.
Der obere Befehl zeigte diesen Prozess:
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 334 root 20 0 104900 968 456 S 99.2 0.1 280:51.95 3333
[email protected]:/# ls -al /proc/334 ... lrwxrwxrwx 1 root root 0 Jul 26 08:16 cwd -> /usr/local/tomcat lrwxrwxrwx 1 root root 0 Jul 26 08:16 exe -> /usr/local/tomcat/3333
wir den Prozess getötet und geändert, um die Rechte der Datei:
[email protected]:/# kill 334 [email protected]:/# chmod 000 /usr/local/tomcat/3333
Bitte untersuchen oder mehr Sicherheit verwenden Hardendend Docker-Vorlage.
Hat jemand schon einmal auf das gleiche oder ein ähnliches Problem gestoßen? Ist es möglich, dass der Container gehackt wurde?
Dies beantwortet nicht wirklich die Frage. Die Frage war im Grunde "Was ist passiert?", Nicht "Was ist zu tun?" – Roman