主页 / computer / 问题 / 1672315
Accepted
mcExchange
Asked: 2021-08-31 10:01:34 +0800 CST

Docker:未知容器和映像 - 系统漏洞?

  • 772

Docker:未知容器和映像 - 系统漏洞?

我最近发现了一个我不记得创建的 docker 容器。是不是有人用 docker 入侵了我的电脑?

$> docker container  ls -a
CONTAINER ID        IMAGE               COMMAND                  CREATED             STATUS                     PORTS               NAMES
ec593ea0e850        76ca1da57664        "/bin/sh -c 'pacman …"   13 days ago         Exited (255) 13 days ago                       suspicious_johnson
9c6ecd02736b        ubuntu:latest       "bash"                   2 weeks ago         Exited (137) 4 days ago                        ailib-build-server
e5b4c589c81c        mediapipe:latest    "bash"                   7 weeks ago         Up 44 minutes                                  mediapipe

具有讽刺意味的是,可疑容器被称为“suspicious_johnson”,另外两个容器是我创建的。

  • 我如何检查这个容器的来源?
  • 谁安装的?
  • 如何检查它何时处于活动状态?
  • 它是否源自可信赖的来源(例如 Docker-Hub)?
  • 这种黑客行为可能/常见吗?

任何有助于我避免因偏执而重新安装系统的想法都会有所帮助。谷歌也不知道这个名字。当然,如果我不小心安装了它,容器名称应该可以在互联网或 github 上的某个地方找到......

ubuntu docker

1 个回答

  1. Best Answer
    • 我如何检查这个容器的来源?
    • 谁安装的?

    您可以检查它以查看容器的定义。但是谁提交了它是未知的,因为 docker 套接字不跟踪谁连接(我认为除了配置 TLS 之外没有太多方法可以做到这一点)。

    • 如何检查它何时处于活动状态?

    13 天前,创建并退出,可能在创建后不久。

    • 它是否源自可信赖的来源(例如 Docker-Hub)?

    原始图像不再标记在您的主机上。我也不会说 Docker Hub 是绝对值得信赖的,就像任何人都可以创建 GitHub 存储库并上传任何内容一样。

    • 这种黑客行为可能/常见吗?

    如果您在 13 天前被黑客入侵,那么您现在可能正在运行加密货币矿工或已加密您的驱动器。

    至于容器名称,suspicious_johnson是一个自动生成的名称。可疑是形容词,约翰逊指的是:

    // Katherine Coleman Goble Johnson - American physicist and mathematician contributed to the NASA. https://en.wikipedia.org/wiki/Katherine_Johnson

    参考:https ://github.com/moby/moby/blob/master/pkg/namesgenerator/names-generator.go

    容器是您docker run ... pacman ...在 cli 上运行时所看到的(从该输出中不知道图像名称和其他参数,但在检查中可能会看到更多细节)。

    • 2

相关问题