[ON] Из каталога Docker Hub удалено 17 образов контейнеров с вредоносным кодом
Модератор: Модераторы разделов
[ON] Из каталога Docker Hub удалено 17 образов контейнеров с вредоносным кодом
В каталоге Docker Hub выявлено 17 образов контейнеров, которые содержали бэкдоры или скрытый код для майнинга криптовалют. Первое появление вредоносных образов было зафиксировано 10 месяцев назад и за это время злоумышленниками под одной учётной записью было размещено 17 подобных образов.
В сумме вредоносные образы были загружено более 5 миллионов раз, а доход от майнинга, судя по состоянию указанного в образах кошелька, составил 544.74 Monero (по сегодняшнему курсу 70 тысяч долларов, по состоянию на начало июня - 90 тысяч). Вредоносные образы в основном применялись в ходе атак на некорректно настроенные системы оркестровки контейнеров (например, оставление отладочных обработчиков, допускающих неавторизированный доступ к API Kubernetes через порты 10255 и 10250), после получения доступа к которым атакующие устанавливали свои контейнеры с Docker Hub.
Обычным пользователям Docker также рекомендуется с осторожностью относиться к образам, предлагаемым на Docker Hub, независимо от их популярности. Многие пользователи беспечно относятся к установке сторонних контейнеров, не задумываясь, что их установка мало чем отличается от загрузки и запуска сомнительных исполняемых файлов, которые могут содержать всё что угодно. Учётная запись, с которой производилось размещение в Docker Hub вредоносных образов, была удалена только спустя 10 месяцев с момента публикации первого сообщения о проблеме.
Несмотря на удаление проблемных образов с Docker Hub, ранее установленные экземпляры остаются активными, поэтому администраторам систем на базе Docker и Kubernetes рекомендуется проверить наличие работающих контейнеров, созданных на базе образов от пользователя "docker123321". Большинство вредоносных образов были размещены под именами tomcat, cron и mysql (например, "docker123321/mysql5"). 7 образов включали бэкдор, позволяющий получить удалённый доступ к shell (Reverse Shell на Python и Bash). Один образ содержал предопределённый SSH-ключ злоумышленников. А остальные 9 включали код для загрузки программы для майнинга под видом изображения JPG.
Источник: https://www.opennet.ru/opennews/art.shtml?num=48777
(opennet.ru, основная лента)
В сумме вредоносные образы были загружено более 5 миллионов раз, а доход от майнинга, судя по состоянию указанного в образах кошелька, составил 544.74 Monero (по сегодняшнему курсу 70 тысяч долларов, по состоянию на начало июня - 90 тысяч). Вредоносные образы в основном применялись в ходе атак на некорректно настроенные системы оркестровки контейнеров (например, оставление отладочных обработчиков, допускающих неавторизированный доступ к API Kubernetes через порты 10255 и 10250), после получения доступа к которым атакующие устанавливали свои контейнеры с Docker Hub.
Обычным пользователям Docker также рекомендуется с осторожностью относиться к образам, предлагаемым на Docker Hub, независимо от их популярности. Многие пользователи беспечно относятся к установке сторонних контейнеров, не задумываясь, что их установка мало чем отличается от загрузки и запуска сомнительных исполняемых файлов, которые могут содержать всё что угодно. Учётная запись, с которой производилось размещение в Docker Hub вредоносных образов, была удалена только спустя 10 месяцев с момента публикации первого сообщения о проблеме.
Несмотря на удаление проблемных образов с Docker Hub, ранее установленные экземпляры остаются активными, поэтому администраторам систем на базе Docker и Kubernetes рекомендуется проверить наличие работающих контейнеров, созданных на базе образов от пользователя "docker123321". Большинство вредоносных образов были размещены под именами tomcat, cron и mysql (например, "docker123321/mysql5"). 7 образов включали бэкдор, позволяющий получить удалённый доступ к shell (Reverse Shell на Python и Bash). Один образ содержал предопределённый SSH-ключ злоумышленников. А остальные 9 включали код для загрузки программы для майнинга под видом изображения JPG.
Источник: https://www.opennet.ru/opennews/art.shtml?num=48777
(opennet.ru, основная лента)
- serzh-z
- Бывший модератор
- Сообщения: 8259
- Статус: Маньяк
- ОС: Arch, Fedora, Ubuntu
- Контактная информация:
Re: [ON] Из каталога Docker Hub удалено 17 образов контейнеров с вредоносным кодом
Всегда избегал чужих образов, особенно с многословными и непонятными Dockerfile.
- Bizdelnick
- Модератор
- Сообщения: 20752
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: [ON] Из каталога Docker Hub удалено 17 образов контейнеров с вредоносным кодом
Подозреваю, что речь об образах вообще без Dockerfile.
Я использую только несколько образов с хаба (официальные alpine, debian, ubuntu, ну и jenkins ещё), всё остальное делаю сам. То, что нашли только 17 образов, означает, что искали плохо: помойка там та ещё, под стать гуглоплею.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
- serzh-z
- Бывший модератор
- Сообщения: 8259
- Статус: Маньяк
- ОС: Arch, Fedora, Ubuntu
- Контактная информация:
Re: [ON] Из каталога Docker Hub удалено 17 образов контейнеров с вредоносным кодом
А такое возможно? Всегда можно было найти и проверить исходник контейнера - на GitHub или ещё где-то.
В общем, никогда не пуллил контейнер, чей исходник не мог проверить и у которой не было пометки official.
- Bizdelnick
- Модератор
- Сообщения: 20752
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: [ON] Из каталога Docker Hub удалено 17 образов контейнеров с вредоносным кодом
Чтобы его найти на github или ещё где-то, надо, чтобы автор его выложил на github или ещё куда-то. И кроме того, на этой помойке до фига образов «ручной работы», сделанных посредством commit безо всяких Dockerfile.
Аналогично. Не понимаю, как подобное может вообще прийти в голову психически здоровому человеку.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: [ON] Из каталога Docker Hub удалено 17 образов контейнеров с вредоносным кодом
Не могу не оставить это тут.
Вообще для меня всегда было очень странным, что докер не запилит себе фичу по автоматической сборке из готовых docker файлов. Тогда это будет какая-то гарантия, что представленный образ и представленный Dockerfile совпадают. Сейчас они вполне себе могут различаться. Да, такая штука стоит денег, но даже свободные дистрибутивы (не все, правда) вполне себе справляются со сборкой пакетов, что гораздо более ресурсоемко.
Вообще для меня всегда было очень странным, что докер не запилит себе фичу по автоматической сборке из готовых docker файлов. Тогда это будет какая-то гарантия, что представленный образ и представленный Dockerfile совпадают. Сейчас они вполне себе могут различаться. Да, такая штука стоит денег, но даже свободные дистрибутивы (не все, правда) вполне себе справляются со сборкой пакетов, что гораздо более ресурсоемко.
UNIX is basically a simple operating system, but you have to be a genius to understand the simplicity. © Dennis Ritchie
The more you believe you don't do mistakes, the more bugs are in your code.
The more you believe you don't do mistakes, the more bugs are in your code.
- Bizdelnick
- Модератор
- Сообщения: 20752
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: [ON] Из каталога Docker Hub удалено 17 образов контейнеров с вредоносным кодом
Есть куча CI-сервисов, халявных для опенсорса. Кто хотел, тот давно что-нибудь себе прикрутил.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: [ON] Из каталога Docker Hub удалено 17 образов контейнеров с вредоносным кодом
А можно парой слов для просвещения, что это вообще такое за? Что даёт и как вы используете эти докеры? А то может и мне надо :-)
- Bizdelnick
- Модератор
- Сообщения: 20752
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: [ON] Из каталога Docker Hub удалено 17 образов контейнеров с вредоносным кодом
Для личных/домашних целей — точно не надо. Даёт возможность легко плодить идентичные контейнеры в любом количестве. У меня это в основном сборочные окружения, часто в них заворачивают сетевые сервисы, потому что тестировать удобнее, и ведут они себя более предсказуемо, чем обычная установка.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: [ON] Из каталога Docker Hub удалено 17 образов контейнеров с вредоносным кодом
Спасибо, но недостаточно подробно :-)
То есть какая-то изолированная среда, типа образа ФС, подлежащая загрузке на ВМашине, например, а эти докеры должны гарантировать соответствие?
А почему бы не плодить идентичные контейнеры в любом кол-ве простым копированием? В чём тут плюс докеров?
То есть какая-то изолированная среда, типа образа ФС, подлежащая загрузке на ВМашине, например, а эти докеры должны гарантировать соответствие?
А почему бы не плодить идентичные контейнеры в любом кол-ве простым копированием? В чём тут плюс докеров?
Re: [ON] Из каталога Docker Hub удалено 17 образов контейнеров с вредоносным кодом
Я имел в виду другое. Ты когда приходить на докерхаб, у тебя нет никаких гарантий, что залитый образ соответствует выложенному докерфайлу. И нет никакого механизма который бы это подтвердил / опроверг. В этом случае если бы докер автоматически своими силами собирал образы по предоставленным докерфайлам, доверия было бы явно больше.Bizdelnick писал: ↑14.06.2018 23:37Есть куча CI-сервисов, халявных для опенсорса. Кто хотел, тот давно что-нибудь себе прикрутил.
Это как с пакетами для дистрибутивов. В каком-нибудь opensuse всё автоматом собирается на билд сервере. А в debian мантейнеры всё ещё по старинке собирают на своей железке и заливают в дебиановскую репу. Кому больше доверия?
Спорноей утверждение. В докере бывает попадает какой-нибудь специфический софт, который самостоятельно собирать долго / сложно / нет желания. А тут взял готовый докерфайл, всё быстренько собрал и готово. Или для разработки идеально подходит. Даже в проекте где ты единственный разработчик.
Это почти как ВМ, но не ВМ. Эта штука работает за счёт cgroup и namespace'ов. По сути всё, что делает докер -- запускает процесс в вашей системе и изолирует его от системы так, что процесс считает, что он бежит один. Т.е. никакой дополнительной виртуальной ОС не запускается. Только процесс.
Докер -- первые контейнеры, которым удалось сделать процесс сборки и управления контейнерами простым и удобным (это если сравнивать с предшественниками типа lxc, openvz и др). Плюс у них есть огромный репозиторий с готовыми образами (докерхаб), правда пользоваться стоит аккуратно (см обсуждение выше). Но несомненный плюс в том, что у мало мальски серьезных проектов там всегда есть Dockerfile в открытом доступе, с помощью которого легко и быстро можно собрать такой же образ самостоятельно.
Плюс удобные утилиты для управления множеством контейнеров. Нужно запилить проект с использованием десятка сервисов. Написал docker-compose.yml файл в котором все сервисы описаны (e.g. postgres, rabbit, nginx, пара-тройка инстансов своего приложения), сделал docker-compose up и всё завелось Не нужно ничего долго ставить и настраивать на своей машине. Закончил разработку -- docker-compose down и как-будто ничего и не было.
UNIX is basically a simple operating system, but you have to be a genius to understand the simplicity. © Dennis Ritchie
The more you believe you don't do mistakes, the more bugs are in your code.
The more you believe you don't do mistakes, the more bugs are in your code.
Спасибо сказали:
- Bizdelnick
- Модератор
- Сообщения: 20752
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: [ON] Из каталога Docker Hub удалено 17 образов контейнеров с вредоносным кодом
По сути — корневая ФС для контейнера (виртуализация на уровне ОС).
Плюс в том, что копирования не происходит. ФС для контейнера делается путём bind-монтирования ФС образа и оверлея поверх него (aufs/overlayfs). В результате создание нового контейнера происходит практически мгновенно и не отъедает кусок диска. Кроме того, docker создаёт сеть для контейнеров, если попросить — пробрасывает порты, биндит в контейнер отдельные каталоги и устройства хост-системы и делает многое другое, а главное — предоставляет API для управления всем этим хозяйством. Ну и плюс к тому он собирает образы по правилам, прописанным в Dockerfile, так что, например, обновление образа происходит его пересборкой с нуля, но полностью воспроизводимо. Сколхозить аналогичное на коленке, конечно, можно, но займёт много времени.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Спасибо сказали:
- Bizdelnick
- Модератор
- Сообщения: 20752
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: [ON] Из каталога Docker Hub удалено 17 образов контейнеров с вредоносным кодом
Оно, конечно, так, но хаб придумывался не для этого. Это в первую очередь удобная хранилка для образов, и только потом средство их распространения. Если кто-то хочет залить свой персональный образ, в который долго и мучительно коммитил изменения руками, описанная тобой фича просто не дала бы ему это сделать.SLEDopit писал(а): ↑15.06.2018 09:50Я имел в виду другое. Ты когда приходить на докерхаб, у тебя нет никаких гарантий, что залитый образ соответствует выложенному докерфайлу. И нет никакого механизма который бы это подтвердил / опроверг. В этом случае если бы докер автоматически своими силами собирал образы по предоставленным докерфайлам, доверия было бы явно больше.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: [ON] Из каталога Docker Hub удалено 17 образов контейнеров с вредоносным кодом
Мой внутренний автоматизатор вырывает себе волосы, когда видит такой подход к работеBizdelnick писал: ↑15.06.2018 09:59Если кто-то хочет залить свой персональный образ, в который долго и мучительно коммитил изменения руками
UNIX is basically a simple operating system, but you have to be a genius to understand the simplicity. © Dennis Ritchie
The more you believe you don't do mistakes, the more bugs are in your code.
The more you believe you don't do mistakes, the more bugs are in your code.
- Bizdelnick
- Модератор
- Сообщения: 20752
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: [ON] Из каталога Docker Hub удалено 17 образов контейнеров с вредоносным кодом
Я знаю одного человека, который для автоматизации сборки образов пишет Makefile, из которого делает commit'ы. Ты его тоже знаешь, кстати. ☺
Но registry он для хранения этих образов не использовал.
Но registry он для хранения этих образов не использовал.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |