.net做网站用什么框架,网站建设职业主要做什么,洛阳霞光网络科技有限公司,wordpress keyword link plugin01、概述 当网络流量监控发现某台运行多个docker容器的主机主动连接到一个疑似挖矿矿池的地址时#xff0c;需要快速响应和排查#xff0c;以阻止进一步的损害。 面对docker容器的场景下#xff0c;如何快速分析和识别恶意挖矿容器?本文将分享一种应急响应思路#xff0c;… 01、概述 当网络流量监控发现某台运行多个docker容器的主机主动连接到一个疑似挖矿矿池的地址时需要快速响应和排查以阻止进一步的损害。 面对docker容器的场景下如何快速分析和识别恶意挖矿容器?本文将分享一种应急响应思路用于排查运行多个Docker容器的主机中可能存在的恶意挖矿容器。 02、定位容器 在宿主机上通过netstat -an 是看不到容器内的网络连接的而一台台进入容器查看网络连接排查效率很慢。 我们知道宿主机上的容器都是通过dokcer0进行通信的因此可以通过tcpdump找到异常网络连接的容器IP地址然后进一步关联到容器。 1tcpdump抓包定位容器ip地址 tcpdump -i docker0 dst host xx.xx.xx.xx -v 可以看到与恶意ip建立网络连接的容器IP是172.17.0.2 2一个命令获取所有容器名称及其IP地址匹配172.17.0.2 从而定位到容器。 docker inspect -f {{.Name}} - {{.NetworkSettings.IPAddress }} $(docker ps -aq) |grep 172.17.0.2 3进入容器network namespace进行确认找到异常的网络连接地址。 #获取容器PID
docker inspect -f {{.State.Pid}} containerId
#进入容器的network namespace
nsenter -n -t pid
# 验证是否进入容器的network namespace
netstat -an|grep xx.xx.xx.xx 03、分析排查 1进入容器找到挖矿程序的进程恶意脚本路径为xmrig.sh。 2我们需要进一步确认的是挖矿程序时在容器运行过程中被植入了还是镜像文件中已经存在挖矿程序。 使用docker diff命令查看容器内文件状态变化未找到xmrig.sh。 通过docker inspect 快速定位镜像文件系统在宿主机上对应的目录从镜像中提取恶意文件进行对比以确认入侵的源头为恶意镜像。 04、镜像分析 追溯镜像的来源解析Dockerfile文件是关键步骤。 1使用docker history 命令查看指定镜像的创建历史加上 --no-trunc就可以看到全部信息。 2使用dfimage从镜像中提取 Dockerfile在这里可以清晰地看到恶意镜像构建的过程找到恶意挖矿程序的样本。 05、问题处理 1查找恶意镜像关联的容器 docker ps -a|grep IMAGE_NAME (2) 删除相关容器或镜像 docker rm -f containerId
docker rmi IMAGE_NAME
