背景:我在腾讯云上购买了一个轻量级的服务器,并在上面安装了docker。
现象:
希望各位小伙伴能给予解答或者推荐相关的文章。
1.信息太少,无法判断是如何感染的,至少从目前已知信息来看,是从容器感染还是服务器感染尚不能确定。
说下常见的挂马方式:
- web防火墙开放了违规端口,一般web防火墙(网络安全组)需要什么开通什么,默认只开放80和443端口,其他端口一律关闭,如果有远程需求,开放指定IP的访问规则,因为常见的6379(redis端口,redis漏洞非常多,像提权漏洞,能获取root权限,接下来为所欲为)
- 下载了木马文件或通过外部设备感染,比如磁盘映射等,木马文件会后台下载更新木马,并且改变你的crontab定时任务,如果没能处理掉定时任务,及时删除了木马文件也无法解决,同时,高级的病毒还会改变你的lib文件和软连接,命令等等,甚至可以隐藏资源使用率
- api,站点,上传未做限制,未做鉴权等:典型的例子例如开源软件xx-job,当执行器和调度器没有开启token的时候,由于开放端口,任何人都可以通过接口添加任务,即可植入木马
- docker远程,基本上开启的人90%以上的人都会遇到挂马问题,因为基本上都没有配置证书,这个其实和上面一点是一样的,也是通过docker-api的方式注入的
2. docker远程可以配置证书,提高安全性,没有配置证书,不建议使用,要使用请配合安全组,开放指定IP的访问,即使是动态IP,短时间内也不会改变,可能需要在IP发生改变时,响应改变安全组规则。
3. docker远程是自己配置开启的,只需要回滚你的操作即可,具体视你改动,如果是公有云提供的服务,应当在控制台会有关闭的界面。
个人建议:
在使用docker时,不建议开启docker远程,通过ssh远程到目标服务器,用响应的docker命令更方便。需要对服务器的安全组做好控制,无需外网访问的一律关闭,需要外网访问的能配置点对点的策略全部点对点。镜像方面,尽量选择官方镜像或自己制作镜像,少用私人提供的镜像。