Docker:未知的容器和图像——系统漏洞?
我最近发现了一个我不记得创建过的 docker 容器。会不会是有人利用 docker 入侵了我的计算机?
$> docker container ls -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
ec593ea0e850 76ca1da57664 "/bin/sh -c 'pacman …" 13 days ago Exited (255) 13 days ago suspicious_johnson
9c6ecd02736b ubuntu:latest "bash" 2 weeks ago Exited (137) 4 days ago ailib-build-server
e5b4c589c81c mediapipe:latest "bash" 7 weeks ago Up 44 minutes mediapipe
讽刺的是,这个可疑容器被称为“suspicious_johnson”,另外两个容器是我创建的。
- 我如何检查这个集装箱的原产地?
- 谁安装的?
- 我如何检查它何时处于活动状态?
- 它是否来自可靠来源(例如 Docker-Hub)?
- 这种黑客行为可能吗/常见吗?
任何能帮助我避免因为偏执而重新安装系统的想法都会有所帮助。谷歌也不知道这个名字。当然,如果我不小心安装了它,容器名称应该可以在互联网或 github 的某个地方找到……
答案1
- 我如何检查这个集装箱的原产地?
- 谁安装的?
您可以检查它以查看容器的定义。但提交它的人是谁却不得而知,因为 docker 套接字不会跟踪谁连接了(我认为除了配置 TLS 之外没有太多方法可以做到这一点)。
- 我如何检查它何时处于活动状态?
13天前,创建并退出,可能在创建后不久。
- 它是否来自可靠来源(例如 Docker-Hub)?
原始映像不再标记在您的主机上。我也不认为 Docker Hub 是绝对值得信赖的,就像任何人都可以创建 GitHub 存储库并上传任何内容一样。
- 这种黑客行为可能吗/常见吗?
如果您在 13 天前遭到黑客攻击,那么您现在很可能正在运行加密货币矿工或您的驱动器已被加密。
至于容器名称,suspicious_johnson是自动生成的名称。Suspicious 是形容词,Johnson 指的是:
// Katherine Coleman Goble Johnson - American physicist and mathematician contributed to the NASA. https://en.wikipedia.org/wiki/Katherine_Johnson
参考:https://github.com/moby/moby/blob/master/pkg/namesgenerator/names-generator.go
容器就是您在docker run ... pacman ...cli 上运行时所看到的内容(从此输出中无法得知图像名称和其他参数,但在检查中可以看到更多详细信息)。