1. Zuhause
  2. Frage und Antwort
  3. Docker tomcat8-jre8 gehackt?

Docker tomcat8-jre8 gehackt?

2016-09-08 2 views
0

Ich habe eine Web-App auf Delastic (dogado) als Docker Container gehostet (der offizielle Docker Container link). Nach 2 Wochen erhalte ich eine E-Mail:Docker tomcat8-jre8 gehackt?

Lieben Jelastic Kunden, ein Prozess des Befehls dort „/ usr/local/tomcat/3333“ war, die heute Morgen massive Pakete an verschiedene Ziele sendete. Die Symptome sehen aus wie der Docker Instanz hat eine Sicherheitslücke und wurde in einem DDoS-Angriff oder Teil eines Botnetzes verwendet.

Der obere Befehl zeigte diesen Prozess:

PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 
334 root 20 0 104900 968 456 S 99.2 0.1 280:51.95 3333 

[email protected]:/# ls -al /proc/334 
... 
lrwxrwxrwx 1 root root 0 Jul 26 08:16 cwd -> /usr/local/tomcat 
lrwxrwxrwx 1 root root 0 Jul 26 08:16 exe -> /usr/local/tomcat/3333

wir den Prozess getötet und geändert, um die Rechte der Datei:

[email protected]:/# kill 334 
[email protected]:/# chmod 000 /usr/local/tomcat/3333

Bitte untersuchen oder mehr Sicherheit verwenden Hardendend Docker-Vorlage.

Hat jemand schon einmal auf das gleiche oder ein ähnliches Problem gestoßen? Ist es möglich, dass der Container gehackt wurde?

Quelle

2016-09-08 Matthias Hamann

Antwort

1

Die Jungs, die den Behälter liefern gab mir einen Tipp ...

ich nur den ROOT Krieg zu entfernen.

RUN rm -rf /usr/local/tomcat/webapps/ROOT

Ich vergesse komplett, dass der Tomcat Beispiel-Apps liefert. Also muss ich die Sicherheitslöcher löschen:

RUN rm -rf /usr/local/tomcat/webapps/

Quelle

2016-10-10 09:18:32

-1

Verwenden Sie irgendwelche Schutzwerkzeuge? Wir nehmen das Szenario nicht ein, wenn Ihr Container gehackt werden kann, wenn kein Schutz vorhanden ist.

Wir empfehlen dringend, IPtables und Fail2Ban zu verwenden, um Ihre Container vor Hack-Angriffen zu schützen (Sie haben Root-Zugriff auf Ihren Docker-Container mit SSH, so dass Sie diese Pakete installieren und konfigurieren können), insbesondere wenn Sie eine öffentliche IP-Adresse anhängen Ihre Behälter.

Sie haben auch Zugriff auf alle Containerprotokolle (über Dashboard oder SSH), so dass Sie Protokolle analysieren und vorbeugende Maßnahmen ergreifen können.

Einen schönen Tag noch.

Quelle

2016-09-09 09:14:56 Jelastic

+0

Dies beantwortet nicht wirklich die Frage. Die Frage war im Grunde "Was ist passiert?", Nicht "Was ist zu tun?" – Roman

Verwandte Themen

 Verwandte Themen