[ON] Из каталога Docker Hub удалено 17 образов контейнеров с вредоносным кодом

Обсуждение новостей, соответствующих тематике форума

Модератор: Модераторы разделов

Ответить
Аватара пользователя
rssbot
Бот
Сообщения: 6002
ОС: gnu/linux

[ON] Из каталога Docker Hub удалено 17 образов контейнеров с вредоносным кодом

Сообщение rssbot »

В каталоге Docker Hub выявлено 17 образов контейнеров, которые содержали бэкдоры или скрытый код для майнинга криптовалют. Первое появление вредоносных образов было зафиксировано 10 месяцев назад и за это время злоумышленниками под одной учётной записью было размещено 17 подобных образов.

В сумме вредоносные образы были загружено более 5 миллионов раз, а доход от майнинга, судя по состоянию указанного в образах кошелька, составил 544.74 Monero (по сегодняшнему курсу 70 тысяч долларов, по состоянию на начало июня - 90 тысяч). Вредоносные образы в основном применялись в ходе атак на некорректно настроенные системы оркестровки контейнеров (например, оставление отладочных обработчиков, допускающих неавторизированный доступ к API Kubernetes через порты 10255 и 10250), после получения доступа к которым атакующие устанавливали свои контейнеры с Docker Hub.

Обычным пользователям Docker также рекомендуется с осторожностью относиться к образам, предлагаемым на Docker Hub, независимо от их популярности. Многие пользователи беспечно относятся к установке сторонних контейнеров, не задумываясь, что их установка мало чем отличается от загрузки и запуска сомнительных исполняемых файлов, которые могут содержать всё что угодно. Учётная запись, с которой производилось размещение в Docker Hub вредоносных образов, была удалена только спустя 10 месяцев с момента публикации первого сообщения о проблеме.

Несмотря на удаление проблемных образов с Docker Hub, ранее установленные экземпляры остаются активными, поэтому администраторам систем на базе Docker и Kubernetes рекомендуется проверить наличие работающих контейнеров, созданных на базе образов от пользователя "docker123321". Большинство вредоносных образов были размещены под именами tomcat, cron и mysql (например, "docker123321/mysql5"). 7 образов включали бэкдор, позволяющий получить удалённый доступ к shell (Reverse Shell на Python и Bash). Один образ содержал предопределённый SSH-ключ злоумышленников. А остальные 9 включали код для загрузки программы для майнинга под видом изображения JPG.


Источник: https://www.opennet.ru/opennews/art.shtml?num=48777
(opennet.ru, основная лента)
Спасибо сказали:
Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 8259
Статус: Маньяк
ОС: Arch, Fedora, Ubuntu
Контактная информация:

Re: [ON] Из каталога Docker Hub удалено 17 образов контейнеров с вредоносным кодом

Сообщение serzh-z »

Всегда избегал чужих образов, особенно с многословными и непонятными Dockerfile.
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: [ON] Из каталога Docker Hub удалено 17 образов контейнеров с вредоносным кодом

Сообщение Bizdelnick »

serzh-z писал:
14.06.2018 16:21
Всегда избегал чужих образов, особенно с многословными и непонятными Dockerfile.
Подозреваю, что речь об образах вообще без Dockerfile.
Я использую только несколько образов с хаба (официальные alpine, debian, ubuntu, ну и jenkins ещё), всё остальное делаю сам. То, что нашли только 17 образов, означает, что искали плохо: помойка там та ещё, под стать гуглоплею.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 8259
Статус: Маньяк
ОС: Arch, Fedora, Ubuntu
Контактная информация:

Re: [ON] Из каталога Docker Hub удалено 17 образов контейнеров с вредоносным кодом

Сообщение serzh-z »

Bizdelnick писал:
14.06.2018 20:22
Подозреваю, что речь об образах вообще без Dockerfile.
А такое возможно? Всегда можно было найти и проверить исходник контейнера - на GitHub или ещё где-то.

В общем, никогда не пуллил контейнер, чей исходник не мог проверить и у которой не было пометки official.
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: [ON] Из каталога Docker Hub удалено 17 образов контейнеров с вредоносным кодом

Сообщение Bizdelnick »

serzh-z писал:
14.06.2018 21:28
А такое возможно? Всегда можно было найти и проверить исходник контейнера - на GitHub или ещё где-то.
Чтобы его найти на github или ещё где-то, надо, чтобы автор его выложил на github или ещё куда-то. И кроме того, на этой помойке до фига образов «ручной работы», сделанных посредством commit безо всяких Dockerfile.
serzh-z писал:
14.06.2018 21:28
В общем, никогда не пуллил контейнер, чей исходник не мог проверить и у которой не было пометки official.
Аналогично. Не понимаю, как подобное может вообще прийти в голову психически здоровому человеку.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Аватара пользователя
SLEDopit
Модератор
Сообщения: 4823
Статус: фанат консоли (=
ОС: GNU/Debian, RHEL

Re: [ON] Из каталога Docker Hub удалено 17 образов контейнеров с вредоносным кодом

Сообщение SLEDopit »

Не могу не оставить это тут.

Вообще для меня всегда было очень странным, что докер не запилит себе фичу по автоматической сборке из готовых docker файлов. Тогда это будет какая-то гарантия, что представленный образ и представленный Dockerfile совпадают. Сейчас они вполне себе могут различаться. Да, такая штука стоит денег, но даже свободные дистрибутивы (не все, правда) вполне себе справляются со сборкой пакетов, что гораздо более ресурсоемко.
UNIX is basically a simple operating system, but you have to be a genius to understand the simplicity. © Dennis Ritchie
The more you believe you don't do mistakes, the more bugs are in your code.
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: [ON] Из каталога Docker Hub удалено 17 образов контейнеров с вредоносным кодом

Сообщение Bizdelnick »

SLEDopit писал(а):
14.06.2018 23:16
для меня всегда было очень странным, что докер не запилит себе фичу по автоматической сборке из готовых docker файлов.
Есть куча CI-сервисов, халявных для опенсорса. Кто хотел, тот давно что-нибудь себе прикрутил.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Аватара пользователя
yoricI
Сообщения: 2344
ОС: gentoo fluxbox

Re: [ON] Из каталога Docker Hub удалено 17 образов контейнеров с вредоносным кодом

Сообщение yoricI »

А можно парой слов для просвещения, что это вообще такое за? Что даёт и как вы используете эти докеры? А то может и мне надо :-)
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: [ON] Из каталога Docker Hub удалено 17 образов контейнеров с вредоносным кодом

Сообщение Bizdelnick »

yoricI писал:
15.06.2018 06:13
А можно парой слов для просвещения, что это вообще такое за? Что даёт и как вы используете эти докеры? А то может и мне надо :-)
Для личных/домашних целей — точно не надо. Даёт возможность легко плодить идентичные контейнеры в любом количестве. У меня это в основном сборочные окружения, часто в них заворачивают сетевые сервисы, потому что тестировать удобнее, и ведут они себя более предсказуемо, чем обычная установка.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Аватара пользователя
yoricI
Сообщения: 2344
ОС: gentoo fluxbox

Re: [ON] Из каталога Docker Hub удалено 17 образов контейнеров с вредоносным кодом

Сообщение yoricI »

Спасибо, но недостаточно подробно :-)
То есть какая-то изолированная среда, типа образа ФС, подлежащая загрузке на ВМашине, например, а эти докеры должны гарантировать соответствие?
А почему бы не плодить идентичные контейнеры в любом кол-ве простым копированием? В чём тут плюс докеров?
Спасибо сказали:
Аватара пользователя
SLEDopit
Модератор
Сообщения: 4823
Статус: фанат консоли (=
ОС: GNU/Debian, RHEL

Re: [ON] Из каталога Docker Hub удалено 17 образов контейнеров с вредоносным кодом

Сообщение SLEDopit »

Bizdelnick писал:
14.06.2018 23:37
Есть куча CI-сервисов, халявных для опенсорса. Кто хотел, тот давно что-нибудь себе прикрутил.
Я имел в виду другое. Ты когда приходить на докерхаб, у тебя нет никаких гарантий, что залитый образ соответствует выложенному докерфайлу. И нет никакого механизма который бы это подтвердил / опроверг. В этом случае если бы докер автоматически своими силами собирал образы по предоставленным докерфайлам, доверия было бы явно больше.

Это как с пакетами для дистрибутивов. В каком-нибудь opensuse всё автоматом собирается на билд сервере. А в debian мантейнеры всё ещё по старинке собирают на своей железке и заливают в дебиановскую репу. Кому больше доверия?
Bizdelnick писал:
15.06.2018 09:17
Для личных/домашних целей — точно не надо.
Спорноей утверждение. В докере бывает попадает какой-нибудь специфический софт, который самостоятельно собирать долго / сложно / нет желания. А тут взял готовый докерфайл, всё быстренько собрал и готово. Или для разработки идеально подходит. Даже в проекте где ты единственный разработчик.
yoricI писал:
15.06.2018 09:38
То есть какая-то изолированная среда, типа образа ФС, подлежащая загрузке на ВМашине, например, а эти докеры должны гарантировать соответствие?
Это почти как ВМ, но не ВМ. Эта штука работает за счёт cgroup и namespace'ов. По сути всё, что делает докер -- запускает процесс в вашей системе и изолирует его от системы так, что процесс считает, что он бежит один. Т.е. никакой дополнительной виртуальной ОС не запускается. Только процесс.
yoricI писал:
15.06.2018 09:38
В чём тут плюс докеров?
Докер -- первые контейнеры, которым удалось сделать процесс сборки и управления контейнерами простым и удобным (это если сравнивать с предшественниками типа lxc, openvz и др). Плюс у них есть огромный репозиторий с готовыми образами (докерхаб), правда пользоваться стоит аккуратно (см обсуждение выше). Но несомненный плюс в том, что у мало мальски серьезных проектов там всегда есть Dockerfile в открытом доступе, с помощью которого легко и быстро можно собрать такой же образ самостоятельно.

Плюс удобные утилиты для управления множеством контейнеров. Нужно запилить проект с использованием десятка сервисов. Написал docker-compose.yml файл в котором все сервисы описаны (e.g. postgres, rabbit, nginx, пара-тройка инстансов своего приложения), сделал docker-compose up и всё завелось Не нужно ничего долго ставить и настраивать на своей машине. Закончил разработку -- docker-compose down и как-будто ничего и не было.
UNIX is basically a simple operating system, but you have to be a genius to understand the simplicity. © Dennis Ritchie
The more you believe you don't do mistakes, the more bugs are in your code.
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: [ON] Из каталога Docker Hub удалено 17 образов контейнеров с вредоносным кодом

Сообщение Bizdelnick »

yoricI писал:
15.06.2018 09:38
То есть какая-то изолированная среда, типа образа ФС, подлежащая загрузке на ВМашине, например, а эти докеры должны гарантировать соответствие?
По сути — корневая ФС для контейнера (виртуализация на уровне ОС).
yoricI писал:
15.06.2018 09:38
А почему бы не плодить идентичные контейнеры в любом кол-ве простым копированием? В чём тут плюс докеров?
Плюс в том, что копирования не происходит. ФС для контейнера делается путём bind-монтирования ФС образа и оверлея поверх него (aufs/overlayfs). В результате создание нового контейнера происходит практически мгновенно и не отъедает кусок диска. Кроме того, docker создаёт сеть для контейнеров, если попросить — пробрасывает порты, биндит в контейнер отдельные каталоги и устройства хост-системы и делает многое другое, а главное — предоставляет API для управления всем этим хозяйством. Ну и плюс к тому он собирает образы по правилам, прописанным в Dockerfile, так что, например, обновление образа происходит его пересборкой с нуля, но полностью воспроизводимо. Сколхозить аналогичное на коленке, конечно, можно, но займёт много времени.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: [ON] Из каталога Docker Hub удалено 17 образов контейнеров с вредоносным кодом

Сообщение Bizdelnick »

SLEDopit писал(а):
15.06.2018 09:50
Я имел в виду другое. Ты когда приходить на докерхаб, у тебя нет никаких гарантий, что залитый образ соответствует выложенному докерфайлу. И нет никакого механизма который бы это подтвердил / опроверг. В этом случае если бы докер автоматически своими силами собирал образы по предоставленным докерфайлам, доверия было бы явно больше.
Оно, конечно, так, но хаб придумывался не для этого. Это в первую очередь удобная хранилка для образов, и только потом средство их распространения. Если кто-то хочет залить свой персональный образ, в который долго и мучительно коммитил изменения руками, описанная тобой фича просто не дала бы ему это сделать.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Аватара пользователя
SLEDopit
Модератор
Сообщения: 4823
Статус: фанат консоли (=
ОС: GNU/Debian, RHEL

Re: [ON] Из каталога Docker Hub удалено 17 образов контейнеров с вредоносным кодом

Сообщение SLEDopit »

Bizdelnick писал:
15.06.2018 09:59
Если кто-то хочет залить свой персональный образ, в который долго и мучительно коммитил изменения руками
Мой внутренний автоматизатор вырывает себе волосы, когда видит такой подход к работе :)
UNIX is basically a simple operating system, but you have to be a genius to understand the simplicity. © Dennis Ritchie
The more you believe you don't do mistakes, the more bugs are in your code.
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: [ON] Из каталога Docker Hub удалено 17 образов контейнеров с вредоносным кодом

Сообщение Bizdelnick »

Я знаю одного человека, который для автоматизации сборки образов пишет Makefile, из которого делает commit'ы. Ты его тоже знаешь, кстати. ☺
Но registry он для хранения этих образов не использовал.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Ответить