The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]



"Из каталога Docker Hub удалено 17 образов контейнеров с вред..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Из каталога Docker Hub удалено 17 образов контейнеров с вред..."  +/
Сообщение от opennews (??) on 14-Июн-18, 13:49 
В каталоге Docker Hub (https://hub.docker.com/) выявлено 17 образов контейнеров, которые содержали (https://kromtech.com/blog/security-center/cryptojacking-inva...) бэкдоры или скрытый код для майнинга криптовалют. Первое появление вредоносных образов было зафиксировано 10 месяцев назад и за это время злоумышленниками под одной учётной записью было размещено 17 подобных образов.


В сумме вредоносные образы были загружено более 5 миллионов раз, а доход от майнинга, судя по состоянию указанного в образах кошелька, составил  544.74 Monero (по сегодняшнему курсу 70 тысяч долларов, по состоянию на начало июня - 90 тысяч).  Вредоносные образы в основном применялись в ходе атак на некорректно (https://www.opennet.ru/opennews/art.shtml?num=48113) настроенные (https://www.opennet.ru/opennews/art.shtml?num=48329) системы оркестровки контейнеров (например, оставление отладочных обработчиков, допускающих неавторизированный доступ к API  Kubernetes через порты 10255 и 10250), после получения доступа к которым атакующие устанавливали свои контейнеры с Docker Hub.


Обычным пользователям Docker также рекомендуется с осторожностью относиться к образам, предлагаемым на Docker Hub, независимо от их популярности. Многие пользователи беспечно относятся к установке сторонних контейнеров, не задумываясь, что их установка мало чем отличается от загрузки и запуска сомнительных исполняемых файлов, которые могут содержать всё что угодно. Учётная запись, с которой производилось размещение в Docker Hub вредоносных образов, была удалена только спустя 10 месяцев с момента публикации первого сообщения (https://twitter.com/jperras/status/894561761252319232) о проблеме.


Несмотря на удаление проблемных образов с Docker Hub, ранее установленные экземпляры  остаются активными, поэтому  администраторам систем на базе Docker и Kubernetes рекомендуется проверить наличие работающих контейнеров, созданных на базе образов от пользователя "docker123321". Большинство вредоносных образов были размещены под именами tomcat, cron и mysql (например, "docker123321/mysql5"). 7 образов включали бэкдор, позволяющий получить удалённый доступ к shell (Reverse Shell на Python и Bash). Один образ содержал предопределённый SSH-ключ злоумышленников. А остальные 9 включали код для загрузки программы для майнинга под видом изображения JPG.


URL: https://kromtech.com/blog/security-center/cryptojacking-inva...
Новость: https://www.opennet.ru/opennews/art.shtml?num=48777

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


3. "Из каталога Docker Hub удалено 17 образов контейнеров с вред..."  +3 +/
Сообщение от Аноним (??) on 14-Июн-18, 13:55 
Было бы полезно написать какие именно образы содержали вредоносный код.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Из каталога Docker Hub удалено 17 образов контейнеров с вред..."  +2 +/
Сообщение от Аноним (??) on 14-Июн-18, 14:13 
Я так понял, все, которые от этого пользователя... Но мне так-то пофигу. Я этим не пользуюсь
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Из каталога Docker Hub удалено 17 образов контейнеров с вред..."  +/
Сообщение от Michael Shigorin email(ok) on 14-Июн-18, 14:15 
> Было бы полезно написать какие именно образы содержали вредоносный код.

В смысле на что юзер клюёт? (так-то аккаунт, баловавшийся рыбалкой, указан)

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

15. "Из каталога Docker Hub удалено 17 образов контейнеров с вред..."  +/
Сообщение от Аноним (??) on 14-Июн-18, 16:57 
Кому полезно? Хипстерам в кедах на босую ногу?
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

19. "Из каталога Docker Hub удалено 17 образов контейнеров с вред..."  –2 +/
Сообщение от Аноним (??) on 14-Июн-18, 18:21 
Какое отношение имеет Docker к Кедам?
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

22. "Из каталога Docker Hub удалено 17 образов контейнеров с вред..."  +10 +/
Сообщение от хыпстэр on 14-Июн-18, 19:24 
и вовсе не на босу ногу, это у нас low profile носочки.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

18. "Из каталога Docker Hub удалено 17 образов контейнеров с вред..."  +3 +/
Сообщение от Sage (??) on 14-Июн-18, 18:08 
Они все вредоносные :)
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "Из каталога Docker Hub удалено 17 образов контейнеров с вред..."  –2 +/
Сообщение от Аноним (??) on 14-Июн-18, 14:39 
Бэкдоры в контейнере? Докер не имеет изоляции?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Из каталога Docker Hub удалено 17 образов контейнеров с вред..."  +/
Сообщение от iPony on 14-Июн-18, 14:53 
Имеет. Но есть возможность создать образ с сетью - в чём проблема, и с прокинутыми портами

https://docs.docker.com/config/containers/container-networking/

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

23. "Из каталога Docker Hub удалено 17 образов контейнеров с вред..."  +2 +/
Сообщение от пох on 14-Июн-18, 19:29 
> Бэкдоры в контейнере? Докер не имеет изоляции?

он ее довольно так себе умеет, но тут другая тема - бэкдор _в_виде_ контейнера - контейнер используется как "средство доставки бэкдора". Все как положено - автодеплой, независимость от дистрибутива хоста, может даже в swarm умеет.

То есть каким угодно способом попадаешь на хост/систему модной "охрен...оркестрации", но не запускаешь на нем немодные баш-портянки с метасплойтом, а, как честный человек (которому среди прочих all выдан доступ к докер-сокету), docker run mymonero:latest
И типа я хз что он тут делает, их тут полсотни в ps, может нужное чо.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

41. "Из каталога Docker Hub удалено 17 образов контейнеров с вред..."  +/
Сообщение от Дмитрий (??) on 15-Июн-18, 04:30 
> он ее довольно так себе умеет

Он её умеет настолько, насколько её умеет ядро линукс.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

44. "Из каталога Docker Hub удалено 17 образов контейнеров с вред..."  +/
Сообщение от Michael Shigorin email(ok) on 15-Июн-18, 12:16 
>> он ее довольно так себе умеет
> Он её умеет настолько, насколько её умеет ядро линукс.

Точнее, lxc.  Потому что ядро линукс в варианте ovz умеет изоляцию контейнеров _гораздо_ лучше -- вот той уже можно пользоваться не только для удобства, а и ради повышения суммарной безопасности.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

47. "Из каталога Docker Hub удалено 17 образов контейнеров с вред..."  +/
Сообщение от Subcreator (ok) on 16-Июн-18, 01:23 
>Точнее, lxc.  Потому что ядро линукс в варианте ovz...

Ага, сравнили гомно (docker) с мусором (ovz... да, ядро до сих пор 2.х) и конфеткой (lxc)

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

46. "Из каталога Docker Hub удалено 17 образов контейнеров с вред..."  +1 +/
Сообщение от Аноним (??) on 15-Июн-18, 19:01 
Изоляция докера не предназначена для защиты от её обхода, она там сделана по принципу "чтобы программы не сломать, не знающие ничего о докере". На программы, знающие о докере и его ломающие защита не расчитана. Также как и на защиту от атак по сторонним каналам.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

8. "Из каталога Docker Hub удалено 17 образов контейнеров с вред..."  –6 +/
Сообщение от Аноним email(??) on 14-Июн-18, 14:50 
Само собой нельзя досконально проверить каждый заливаемый образ на таком массовом сервисе. Ответственность за выбор контейнера лежит на пользователе.
Все то же самое что и с репозиториями и уж точно ситуация лучше чем на винде, в которой и не может идти речи о какой-либо безопасности.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Из каталога Docker Hub удалено 17 образов контейнеров с вред..."  +1 +/
Сообщение от Аноним (??) on 14-Июн-18, 15:53 
На ДоцкерХуб кто угодно может заливать какие угодно образы, а в репозиторий дистрибутива - только мейнтейнер, участник сообщества, за вредительскую деятельность которого сообщество исключит.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

13. "Из каталога Docker Hub удалено 17 образов контейнеров с вред..."  +/
Сообщение от Аноним (??) on 14-Июн-18, 16:33 
После того так тот намайнит 70к зелени. А потом он сменит ник и продолжит...
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

31. "Из каталога Docker Hub удалено 17 образов контейнеров с вред..."  +1 +/
Сообщение от axredneck on 14-Июн-18, 20:35 
> А потом он сменит ник и

и ему сначала придется заработать репутацию, прежде чем стать мэйнтэйнером.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

36. "Из каталога Docker Hub удалено 17 образов контейнеров с вред..."  +/
Сообщение от Аноним (??) on 14-Июн-18, 23:01 
> После того так тот намайнит 70к зелени. А потом он сменит ник
> и продолжит...

слюший, зачэм смэнит? Я тех ник заранее сто штук зарегил.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

39. "Из каталога Docker Hub удалено 17 образов контейнеров с вред..."  +4 +/
Сообщение от Led (ok) on 15-Июн-18, 00:58 
> Ответственность за выбор контейнера лежит на пользователе.

Ответственность - на не предохранявшихся родителях хипстерков.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Из каталога Docker Hub удалено 17 образов контейнеров с вред..."  –2 +/
Сообщение от Аноним (??) on 14-Июн-18, 15:07 
Хотел написать, что docker - гoвнo. А потом подумал...по сути то проблема любого сервиса где есть возможность загрузить готовый контейнер/образ/пакет/etc, и даже автоматические тесты не спасут, откуда им знать что должно крутиться в этом контейнере и что для него нормальное поведение, а что нет.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Из каталога Docker Hub удалено 17 образов контейнеров с вред..."  +1 +/
Сообщение от пох on 14-Июн-18, 19:30 
> Хотел написать, что docker - гoвнo. А потом подумал...по сути то проблема
> любого сервиса где есть возможность загрузить готовый контейнер/образ/пакет/etc

который собирал незнамокто, известный только ником.

и много таких сервисов? (а, да, гуглеплей. Ну так...)



Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Из каталога Docker Hub удалено 17 образов контейнеров с вред..."  +/
Сообщение от нету on 14-Июн-18, 15:57 
контейнерные хипстеры по всему миру одновременно расплескали свои смузи и теперь заняты промыванием и просушиванием собственной бороды - даже некогда им свои контейнерные г...вноподелки проверить
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "Из каталога Docker Hub удалено 17 образов контейнеров с вред..."  +2 +/
Сообщение от пох on 14-Июн-18, 19:31 
> промыванием и просушиванием собственной бороды - даже некогда им свои контейнерные
> г...вноподелки проверить

свои они хоть обпроверяются - это кого надо были поделки, он проверил - монетки майнятся, все нормально, можно в деплой.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

16. "Из каталога Docker Hub удалено 17 образов контейнеров с вред..."  +2 +/
Сообщение от П on 14-Июн-18, 17:50 
RPM Based можно проверить командой внутри контейнера, чтобы выявить подмёненные штатные пакеты:
rpm -Va
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Из каталога Docker Hub удалено 17 образов контейнеров с вред..."  +3 +/
Сообщение от Sw00p aka Jerom on 14-Июн-18, 17:54 
помойка очередная
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Из каталога Docker Hub удалено 17 образов контейнеров с вред..."  +1 +/
Сообщение от Аноним (??) on 14-Июн-18, 18:23 
Блобы - зло. Если нужны контейнеры, собирайте их сами.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "Из каталога Docker Hub удалено 17 образов контейнеров с вред..."  –3 +/
Сообщение от пох on 14-Июн-18, 19:31 
> Блобы - зло. Если нужны контейнеры, собирайте их сами.

может еще и солнце вручную закатывать самим?

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

27. "Из каталога Docker Hub удалено 17 образов контейнеров с вред..."  +/
Сообщение от Аноним (??) on 14-Июн-18, 19:34 
Конечно. Как и пересборку мира.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

29. "Из каталога Docker Hub удалено 17 образов контейнеров с вред..."  +/
Сообщение от пох on 14-Июн-18, 20:25 
это уже даже у *bsd немодно. Жечь гигаватты, героически пересобирая те же байтики, которые до тебя (и ты же сам) уже миллион раз точно так же собирали? Вполне себе можно этого и не делать.

К идее общей неконтролируемой свалки, собранной из непоймичего непойми кем для общего блага, это имеет примерно перпендикулярное отношение.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

32. "Из каталога Docker Hub удалено 17 образов контейнеров с вред..."  +/
Сообщение от мы on 14-Июн-18, 21:37 
и то верно, лучше монеро помайнить
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

37. "Из каталога Docker Hub удалено 17 образов контейнеров с вред..."  +/
Сообщение от Аноним (??) on 14-Июн-18, 23:02 
> и то верно, лучше монеро помайнить

ну да, эффект в общем-то тот же, но хоть кому-то денег упало на карман (кстати, как-то неприлично мало по нынешним меркам)

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

40. "Из каталога Docker Hub удалено 17 образов контейнеров с вред..."  +1 +/
Сообщение от Led (ok) on 15-Июн-18, 01:01 
> как-то неприлично мало по нынешним меркам

Так и дойная хипстота ещё не вымерла.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

33. "Из каталога Docker Hub удалено 17 образов контейнеров с вред..."  –1 +/
Сообщение от mickvav on 14-Июн-18, 22:13 
Для тех, кому лень жечь гигаваты, но и хочется уверенности в сборке - есть ccache, если что.
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

28. "Из каталога Docker Hub удалено 17 образов контейнеров с вред..."  +1 +/
Сообщение от YetAnotherOnanym (ok) on 14-Июн-18, 20:08 
Ты промискуитет с разнообразием не путай. Слепить контейнер "from scratch" - в этом нет ничего сложного.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

34. "Из каталога Docker Hub удалено 17 образов контейнеров с вред..."  +/
Сообщение от Аноним (??) on 14-Июн-18, 22:28 
> Ты промискуитет с разнообразием не путай.

промискуитет это подмножество.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

45. "Из каталога Docker Hub удалено 17 образов контейнеров с вред..."  +/
Сообщение от proninyaroslav email(ok) on 15-Июн-18, 17:16 
Давно было ясно что докер и ему подобные контейнеры только привнесут вирей.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

48. "Из каталога Docker Hub удалено 17 образов контейнеров с вред..."  +/
Сообщение от Аноним (??) on 17-Июн-18, 17:41 
Шок! Паника! Если позволять запускать на своих хостах незнамо что, то враги могут этим воспользоваться!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

49. "Из каталога Docker Hub удалено 17 образов контейнеров с вред..."  +/
Сообщение от Аноним (??) on 17-Июн-18, 22:59 
И ещё сотни не удалены. Когда же до народа дойдёт что если распространяются бинарники, то это гарантировано вредоносное ПО, и никакая изоляция, контейнеризация и виртуалки не спасут. Привет снапу и флатпаку.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

50. "Из каталога Docker Hub удалено 17 образов контейнеров с вред..."  +/
Сообщение от metakeks email on 20-Июн-18, 05:11 
Год ору об этом. И о том, что с версии 17.06 что-ли докер даже на селинукс плюёт откровенно. Установили бэкдоры? А знаете, так вам и надо, ибо поделом.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor