我有一个 VPS,在其中运行魔鬼盒子,一个 dockerized LAMP 堆栈。我刚刚发现我遇到了金辛恶意软件,最有可能是由于我无意中暴露了一个 Dockerized Redis 服务器而没有设置密码(此处插入捂脸表情符号)。一旦我停止容器,恶意软件就会从进程列表中消失。
无论如何,我一直在阅读有关清理它的说明Redis 的 Github 页面,而且我在主机中没有看到它提到的任何内容: 中没有任何内容/tmp, 中没有任何/var/tmp内容,也没有 cron 条目......所以我明白,如果有的话,恶意软件的文件都是在容器内创建的。
我删除了所有 Docker 镜像,并从 Docker Hub 重新下载了它们。我应该做其他事情吗,还是应该保持安全?
编辑:我想我要问的是:由于被黑客入侵的服务位于 Docker 容器内,停止它并重新下载“干净”的图像就足够了吗,还是我也必须清除主机?
答案1
如果你 100% 确定只有你的 docker 容器受到了影响,我认为没有必要清除主机。
不过,我不确定您现在是否正在使用类似 app armor 的东西:https://docs.docker.com/engine/security/apparmor/- 如果没有,这可能值得考虑,因为您将大大限制攻击面。
另一个值得探索的选择是 AWS、GCP 和 Azure 提供的更多类似 PaaS 的(容器)托管服务 - 在这种情况下,您将再也不必担心主机。