ClamAV+Falco,助你高效检测挖矿Docker | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

ClamAV+Falco,助你高效检测挖矿Docker

申博_安全防护 申博 57次浏览 已收录 0个评论

近日,深佩服平安团队接到客户反应,发明虚拟机的衔接session数突增,很不一般,忧郁形成收集的拥堵,须要举行排查。

长途到题目主机上,发明历程中有很多xmrig历程,这就申明题目了:主机运转了挖矿历程,所以致使主机的session数太高。

ClamAV+Falco,助你高效检测挖矿Docker

那末根据通例,接下来就是杀历程删文件排查有没有定时使命之类的,然则,这些挖矿历程的父历程都是docker,这就奇怪了,岂非这些docker有题目?

百度了一通,发明还真有应用docker挖矿的先例,有些黑客有意将挖矿顺序打包成一个歹意镜像,上传到docker hub中,当用户pull下来运转运用时,挖矿历程就在背地偷偷的挖矿。

检察该主机的docker镜像,本来挖矿的镜像为patsissons/xmrig,且在8天前就在运转了。

进去这个docker内里,发明个中只需一个xmrig历程,那末能够揣摸该镜像就是纯真的一个xmrig挖矿镜像。

看了下黑客的钱包地点,收益也不是挺可观,停止现在才取得1个门罗币。

经由过程在github上搜刮,得知这是一个开源的镜像,其目标就是轻易人人运用docker举行挖矿。

ClamAV+Falco,助你高效检测挖矿Docker

当地试了下这个xmrig镜像,搭建及其简朴轻易。

ClamAV+Falco,助你高效检测挖矿Docker

运转时带上钱包地点,就可以够最先挖矿了。

实测一款IoT路由的安全性如何?从web到硬件,我们进行了全面的漏洞挖掘和分析(上)

以Ewon IoT 200 Flexy路由器为例 Ewon所生产的设备已在全世界范围内被广泛使用,以下是Ewon给出的统计数据: eWON公司成立于2001年,在过去的十几年里,eWON已成为智能互联网远程访问产品市场的领导者。2016年年初eWON成为瑞典HMS工业网络公司旗下品牌,为自动化设备和系统连接到工业网络提供相关产品。HMS eWON主要产品:工业VPN路由器、工业VPN LAN路由器、工业VPN ADSL路由器。 进入Web界面 直接接上电源,即可使用Ewon IoT 200 Flexy路由器。默认情

高效检测挖矿Docker

说了那末多,那末该怎样检测这些歹意的docker呢?歹意的文件被打包在镜像中,杀软并不能直接扫描个中的歹意文件。

接下来,就简朴地从静态扫描和动态监控来说解下怎样检测docker下的歹意软件。

clamscan静态扫描

静态扫描实在也很好完成,杀软不是不能直接扫描镜像中的文件吗?那只需每下载一个镜像,就将其解压出来再扫描不就行了,下面,就经由过程敕令演示将镜像解压到xmrig文件夹。

然后再运用杀软clamscan扫描该文件夹,就可以检测出个中的歹意文件啦!杀软检测出了layer.tar中存在一个Coinminer病毒,这个layer.tar实在对应的就是docker环境中的/usr/local/bin文件夹,xmrig就在这个途径下。

Falco动态监控

从以上步骤可见静态扫描照样挺烦琐的,下面就来引见下动态监控的要领。

运用Falco东西完成动态监控,起首须要在falco_rules.local.yaml中增加两条划定规矩,离别用来检测敕令行有没有”xmr”和检测有没有挖矿的衔接端口。固然,你也能够DIY本身的划定规矩来监控挖矿类历程,比方定义CPU占用率之类的。

修正完后,在falco.yaml中解释掉其他官方的划定规矩文件,保存方才编写的falco_rules.local.yaml。

ClamAV+Falco,助你高效检测挖矿Docker

运转falco,它就会一向挂着监控体系,一旦运转了歹意的docker(以上述xmrig为例),falco就会报警,发明了歹意挖矿历程,历程名为xmrig,衔接的挖矿端口为5555,对应的容器id为57427e71f27f。

ClamAV+Falco,助你高效检测挖矿Docker

写在背面

docker已被普遍应用于临盆环境中,docker hub也有供应第三方的镜像供,然则,在轻易快捷的同时,也要警惕你拖下来的镜像暗藏玄机。发起刚拖下来的镜像不要急着运转,先检测该镜像是不是平安,防止遭到平安要挟。

原文地点: https://www.4hou.com/system/19833.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明ClamAV+Falco,助你高效检测挖矿Docker
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址