Docker:未知的容器和图像——系统漏洞?

Docker:未知的容器和图像——系统漏洞?

Docker:未知的容器和图像——系统漏洞?

我最近发现了一个我不记得创建过的 docker 容器。会不会是有人利用 docker 入侵了我的计算机?

$> docker container  ls -a
CONTAINER ID        IMAGE               COMMAND                  CREATED             STATUS                     PORTS               NAMES
ec593ea0e850        76ca1da57664        "/bin/sh -c 'pacman …"   13 days ago         Exited (255) 13 days ago                       suspicious_johnson
9c6ecd02736b        ubuntu:latest       "bash"                   2 weeks ago         Exited (137) 4 days ago                        ailib-build-server
e5b4c589c81c        mediapipe:latest    "bash"                   7 weeks ago         Up 44 minutes                                  mediapipe

讽刺的是,这个可疑容器被称为“suspicious_johnson”,另外两个容器是我创建的。

  • 我如何检查这个集装箱的原产地?
  • 谁安装的?
  • 我如何检查它何时处于活动状态?
  • 它是否来自可靠来源(例如 Docker-Hub)?
  • 这种黑客行为可能吗/常见吗?

任何能帮助我避免因为偏执而重新安装系统的想法都会有所帮助。谷歌也不知道这个名字。当然,如果我不小心安装了它,容器名称应该可以在互联网或 github 的某个地方找到……

答案1

  • 我如何检查这个集装箱的原产地?
  • 谁安装的?

您可以检查它以查看容器的定义。但提交它的人是谁却不得而知,因为 docker 套接字不会跟踪谁连接了(我认为除了配置 TLS 之外没有太多方法可以做到这一点)。

  • 我如何检查它何时处于活动状态?

13天前,创建并退出,可能在创建后不久。

  • 它是否来自可靠来源(例如 Docker-Hub)?

原始映像不再标记在您的主机上。我也不认为 Docker Hub 是绝对值得信赖的,就像任何人都可以创建 GitHub 存储库并上传任何内容一样。

  • 这种黑客行为可能吗/常见吗?

如果您在 13 天前遭到黑客攻击,那么您现在很可能正在运行加密货币矿工或您的驱动器已被加密。

至于容器名称,suspicious_johnson是自动生成的名称。Suspicious 是形容词,Johnson 指的是:

// Katherine Coleman Goble Johnson - American physicist and mathematician contributed to the NASA. https://en.wikipedia.org/wiki/Katherine_Johnson

参考:https://github.com/moby/moby/blob/master/pkg/namesgenerator/names-generator.go

容器就是您在docker run ... pacman ...cli 上运行时所看到的内容(从此输出中无法得知图像名称和其他参数,但在检查中可以看到更多详细信息)。

相关内容