码头工人8-jre8 8被黑？

Question

我将一个web应用程序作为一个码头容器(正式的码头容器链接)托管在j弹性(dogado)上。两周后我收到一封电子邮件：

亲爱的杰弹性客户，有一个命令"/usr/local/tomcat/3333“的过程，它今天早上向不同的目标发送了大量的数据包。这些症状看起来像是码头实例有一个安全漏洞，并被用于DDoS攻击或僵尸网络的一部分。 top命令显示了这个过程： PID用户PR NI VIRT RES SHR S %CPU %MEM TIME+命令334根20 0 104900 968 456 S 99.2 0.1 280:51.95 3333 -al /proc/334 .Lrwxrwx1根根0 7月26 08:16 cwd -> /usr/local/tomcat lrwxrwxrwx1根0 7月26 08:16 exe -> /usr/local/tomcat/3333 我们已经终止了进程并更改了文件的权限： root@node0815-somename:/# kill 334 root@node0815-somename:/# chmod 000 /usr/local/tomcat/3333 请调查或使用更安全的硬码头模板。

以前有没有人遇到过同样的或类似的问题？集装箱有可能被黑了吗？

Answer 1

提供集装箱的人给了我一个提示..。

我只消除了根本的战争。

RUN rm -rf /usr/local/tomcat/webapps/ROOT

我完全忘记了tomcat提供了示例应用程序。所以我要删除安全漏洞：

RUN rm -rf /usr/local/tomcat/webapps/

Answer 2

你用过什么保护工具吗？我们不例外的情况是，如果没有保护，您的容器可以被黑客攻击。

我们强烈建议使用IPtables和Fail2Ban来保护您的容器免受黑客攻击(您可以使用SSH对您的Docker容器进行根访问，以便能够安装和配置这些包)，特别是如果您已经将公共IP附加到容器中。

此外，您可以访问所有容器日志(通过仪表板或SSH)，因此您可以分析日志并采取预防措施。

祝您今天愉快。