01、概述

很多開源組件封裝成容器鏡像進行容器化部署在提高應用部署效率和管理便捷性的同時，也帶來了一些安全挑戰(zhàn)。一旦開源系統(tǒng)出現(xiàn)安全漏洞，基于資產(chǎn)測繪就很容易關聯(lián)到開源組件，可能導致被批量利用。

在本文中，我們將分享一個真實的Docker容器應急實例，涉及到基于開源組件漏洞披露的前后時間段內(nèi)，容器遭遇挖礦程序植入的情況。我們將深入分析排查過程，還原入侵的步驟和手段，幫助讀者了解應對挖礦程序入侵的實際應急操作。

02、分析排查

（1）使用top命令查看，發(fā)現(xiàn)kdevtmpfsi進程異常，CPU占用率199%。

圖片

（2）通過進程PID和USER查看進程信息，通過進程鏈定位到進程所在容器的進程PID。

圖片

（3）通過進程PID查找對應容器名稱，容器名：metabase。

（4）使用docker top 查看容器中的進程信息，找到到容器內(nèi)異常進程。如下圖：異常進程kdevtmpfsi（PID:5613）對應的父進程為JAVA進程(PID:2301)。據(jù)此，可初步判斷，java應用被入侵，導致容器被植入挖礦木馬。

圖片

03、溯源分析

（1）使用docker logs查看容器日志，并通過異常信息定義到漏洞觸發(fā)的位置。如下圖：通過POST提交請求，使用wget和curl命令下載挖礦腳本并執(zhí)行。

docker logs metabase

（2）查看運行的容器對應的鏡像版本，對應的鏡像為：metabase:v0.46.4

（3）通過日志信息和鏡像版本，可進一步關聯(lián)近段時間的威脅情報：開源BI分析工具 Metabase 中存在遠程代碼執(zhí)行漏洞。

圖片

（4）漏洞復現(xiàn)，通過exp成功執(zhí)行命令，確認當前使用鏡像存在遠程命令執(zhí)行漏洞。

圖片

綜上，攻擊者通過利用metabase 遠程命令執(zhí)行漏洞對暴露在外網(wǎng)上的服務進行攻擊并下載并執(zhí)行挖礦程序。

04、解決問題

（1）保留入侵痕跡，使用docker commit保存為鏡像，可作為demo，用于檢測容器安全產(chǎn)品的能力或其他用途。

docker commit -m "CoinMiner"  -a "bypass"  b4536a12a341  bypass007/miner:1.0

（2）使用docker diff命令查看容器內(nèi)文件狀態(tài)變化，通過容器內(nèi)文件的變化，可以簡單地窺探攻擊者入侵容器的蛛絲馬跡，做了什么操作，改了哪些系統(tǒng)文件。

docker diff metabase

圖片

（3）通過對shell腳本文件和挖礦樣本進行分析，可以了解到更詳細的行為。部分截圖如下：

圖片

（4）在容器環(huán)境里，容器被入侵的清理比較簡單，不用著急去清理容器內(nèi)的挖礦或是后門，直接刪除容器即可。比較重要的是，根據(jù)定位的漏洞問題進行修復，重構容器鏡像。在這里，我們可以將metabase鏡像升級到官方提供的最新修復版本，就可以完成本次容器應用漏洞應急的處置。