Docker 容器入侵排查

这篇具有很好参考价值的文章主要介绍了Docker 容器入侵排查。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

随着越来越多的应用程序运行在容器里,各种容器安全事件也随之发生,例如攻击者可以通过容器应用获取容器控制权,利用失陷容器进行内网横向,并进一步逃逸到宿主机甚至攻击K8s集群。

容器的运行环境是相对独立而纯粹,当容器遭受攻击时,急需对可疑的容器进行入侵排查以确认是否已失陷,并进一步进行应急处理和溯源分析找到攻击来源。在应急场景下,使用docker命令可以最大程度利用docker自身的特性,快速的获取相关信息而无需进入容器内部,帮助我们进行溯源分析和解决问题。


1.1 检查容器运行情况

使用docker ps  查看当前运行的容器,创建时间、运行状态、端口映射。

[root@ecs-t /]# docker ps
CONTAINER ID   IMAGE                          COMMAND                  CREATED             STATUS             PORTS                          NAMES
b06352ff26cc   sagikazarmark/dvwa             "/run.sh"                About an hour ago   Up About an hour   3306/tcp, 0.0.0.0:81->80/tcp   dvwa

1.2 检查运行容器详细信息

使用docker inspect来获取容器的详细信息。

//获取容器名
docker inspect -f {{.Name}}  dvwa  


 //获取容器网络的相关信息
docker inspect -f {{.NetworkSettings}} dvwa   
docker inspect -f {{.NetworkSettings.IPAddress}} dvwa 


//目录在宿主机的具体挂载位置
docker inspect -f="{{json .Mounts}}" dvwa   
docker inspect -f "{{range .Mounts}} {{println .Source .Destination}} {{end}}" dvwa


//查看网络信息
docker inspect -f="{{json .NetworkSettings}}" dvwa

1.3 检查容器资源的使用情况

使用docker stats 查看容器的CPU、内存、网络 I/O等情况,以确认是否存在资源异常的情况。

[root@ecs-t /]# docker stats dvwa


CONTAINER ID   NAME      CPU %     MEM USAGE / LIMIT     MEM %     NET I/O           BLOCK I/O         PIDS
b06352ff26cc   dvwa      0.00%     76.21MiB / 3.686GiB   2.02%     23.6kB / 57.6kB   24.1MB / 67.7MB   27

1.4 检查容器中进程信息

使用docker top 查看容器中的进程信息,通过PID/PPID/CMD等信息来辅助定位异常进程。

如下图:java父进程(PID:84010)触发bash反弹shell的子进程(PID:84281)。

Docker 容器入侵排查

1.5  查看容器中日志

使用docker logs查看容器日志,并通过关键字定位异常信息位置。

如下图:通过特征关键字找到可疑的jndi请求。

Docker 容器入侵排查

1.6 查看容器中的文件变化

使用docker diff命令可以找出容器内文件状态变化。备注:三种状态(A - Add, D - Delete, C - Change )。

如下图:通过新增文件目录快速定位webshell文件。

Docker 容器入侵排查

1.7 失陷容器应急处理

确认容器失陷后,一般我们可以采取暂停容器、隔离容器甚至杀死容器的方式来做紧急处理。

(1)使用docker pause,暂停容器中所有的进程。

(2)使用docker commit,用于将被入侵的容器来构建镜像,从而保留现场痕迹,以便溯源。

(3)将正在运行的Docker容器禁用网络。

//将运行中的容器与用户定义的网桥断开连接
[root@localhost ~]#docker network disconnect bridge <container-name>


//禁用veth
[root@localhost ~]#docker exec -it <container-name> cat /sys/class/net/eth0/iflink
29
[root@localhost ~]#ip link show |grep 29
29: vethbf5239e@if28: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue masteefault 
[root@localhost ~]# ip link set vethbf5239e down

(4)使用docker kill 杀掉运行中的容器。文章来源地址https://www.toymoban.com/news/detail-498118.html

docker kill -s KILL <container-name>

到了这里,关于Docker 容器入侵排查的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 为什么越来越多的人开始学习大数据了?

    现在,在数字化转型的推动下,越来越多的企业意识到大数据的魅力,并不断在这个领域投入资金,Python+大数据开发相关人才也备受青睐! 大数据从业领域很宽广,不管是科技领域还是食品产业,零售业等都是需要大数据人才进行大数据的处理,以提供更好的用户体验,优

    2024年02月02日
    浏览(56)
  • 为什么越来越多的人转行学IT当程序员?

    疫情当下,大学毕业生的人数越来越多,就业越来越困难,导致毕业生的就业压力越来越大。但就在这种“毕业即失业”的就业形势下,IT行业的从业者却拿着高薪,在所有行业中成为“佼佼者”。 为什么学IT的人越来越多? 01 行业发展前景,一直向上 我们的工作、生活和学

    2023年04月11日
    浏览(72)
  • 为什么越来越多的企业选择云数据存储而放弃本地数据存储?

    随着企业的发展,它们会产生大量数据。企业已经意识到,利用他们的数据做出数据驱动的决策对于创新和保持竞争优势至关重要。 本文将会探讨企业在收集和分析大数据时可能面临的主要挑战,以及将企业数据仓库部署到本地或云数据存储的选择。我们将根据安全性、成本

    2024年02月08日
    浏览(45)
  • 为什么越来越多的开发者放弃使用Postman,而选择Apifox

    1、Postman + Swagger + Mock + JMeter 作为一个后端开发,我做的大部分项目一般都是基于 Swagger 来管理 API 文档,基于 Postman 来做接口调试,基于 JMeter 来做接口性能测试,基于 RAP 等工具 Mock API 数据。 2、存在的问题 (1)多系统数据不互通 API设计者、前端开发、后端开发、测试人

    2024年01月20日
    浏览(51)
  • 一个非常明显的现象,正在发生——元宇宙正在被越来越多的人所推崇

    一个非常明显的现象,正在发生——元宇宙正在被越来越多的人所推崇,无论是科技巨头,还是资本巨头,几乎都是如此。同时,区块链则正在一点一点地回归理性与客观。对于区块链来讲,这是一个好现象。它告诉我们,人们对于区块链的狂热而激进的认识,正在被一步又

    2023年04月08日
    浏览(40)
  • 为什么越来越多的设计师开始用云渲染来渲图?

    为什么越来越多的设计师开始使用 云渲染 ?小编认为可以从设计师以及云渲染平台自身这2个方向分析,下面一起阅读云渲染干货~ 1.出图多,电脑供不应求 绘图员制作完后需要渲染给甲方确认,甲方要求多的又着急的话边改图边渲染的效率不太高,这样让绘图员的工作增加

    2024年02月06日
    浏览(63)
  • 记录排查node_modules包为什么会越来越大?

    1. 事件背景 中间接手一个团队的项目,npm i 之后,启动服务脚本,正常运行,整个项目很简单,用的若依模板,但是运行几天后发现,硬盘少了十几个G,一开始,还以为是系统的垃圾缓存,清了下,发现远远达不到少的空间,想想这几天干的事,箭头直指该项目,用 npkill 跑

    2024年02月11日
    浏览(40)
  • 越来越多的企业将LLM大语言模型和AI人工智能整合到他们的业务系统中,以增强用户体验或生产力 —— 人工智能和语言模型如何改变能源行业?

    目录 Artiifical Intelligence 人工智能 Language Models 语言模型 Large Language Models 大型语言模型

    2024年02月10日
    浏览(63)
  • 阿里云让我越来越反感

    跟阿里云接触由8,9年的时间了,算起来是一个忠实的阿里云用户呢,因为我带团队比较早,所以基本上只要是我的团队,我都会选择阿里云的产品作为我的技术方案。但是最近2年,我对阿里云的印象是越来越差了。 先说说背景把,我带了个50来人的技术团队,因为公司的发

    2024年02月07日
    浏览(51)
  • 越来越“变态”的验证码,到底在验证什么?

    验证码要验证的是它所面对的是真实的人还是计算机程序。最开始的验证码非常的简单,只要输入几个数字就可以。不知道从何时开始见证了变得越来越变态,变得花样不断的验证,验证码就不仅仅是视力的挑战了,有的时候已经是视力及智力的双重挑战。 还有大家经常看到

    2024年02月11日
    浏览(41)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包