我在jelastic(dogado)上托管了一个web-app作为docker容器(官方docker容器link)。两周后,我收到一封电子邮件:
亲爱的Jelastic客户,有一个命令的过程 “/ usr / local / tomcat / 3333”正在发送大量数据包 今天早上不同的目标。症状看起来像码头 实例有一个安全漏洞,用于DDoS攻击或部分攻击 僵尸网络。
top命令显示了这个过程:
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 334 root 20 0 104900 968 456 S 99.2 0.1 280:51.95 3333root@node0815-somename:/# ls -al /proc/334 ... lrwxrwxrwx 1 root root 0 Jul 26 08:16 cwd -> /usr/local/tomcat lrwxrwxrwx 1 root root 0 Jul 26 08:16 exe -> /usr/local/tomcat/3333我们已经杀死了该进程并更改了该文件的权限:
root@node0815-somename:/# kill 334 root@node0815-somename:/# chmod 000 /usr/local/tomcat/3333请调查或使用更安全的hardenend泊坞模板。
之前有没有人遇到过相同或类似的问题?容器是否可能被黑了?
答案 0 :(得分:2)
提供容器的人给了我一个暗示......
我只删除ROOT战争。
RUN rm -rf /usr/local/tomcat/webapps/ROOT
我完全忘记了tomcat提供的示例应用程序。所以我必须删除安全漏洞:
RUN rm -rf /usr/local/tomcat/webapps/
答案 1 :(得分:-2)