docker容器通过get请求(ddos)成为僵尸网络的一部分
您好,我从我的提供商那里收到一条消息,我的服务器是ddos僵尸网络的一部分。所以我调查了我的docker容器,发现了一些损坏的容器(jitsi meet web)(https://github.com/jitsi/docker-jitsi-meet),nextcloud(https://hub.docker.com/_/nextcloud)和一个nginx容器(https://hub.docker.com/_/nginx)). 有人试图通过GET请求注入不安全的wordpress文件。
我的问题是:这怎么可能,我能做些什么来防止这种情况再次发生?
Jira、Confluence和Oracle数据库的容器
我的服务器作为反向代理运行。
日志:
198.98.55.220---[10/Oct/2021:09:13:11 0000]“POST/ws/v1/cluster/apps/new application HTTP/1.1”404 154“-”python requests/2.6.0 CPython/2.6.6 Linux/2.6.32-754.35.1.el6.x86_64“-”172.17。0.1--[10/Oct/2021:09:15:43 0000]“GET/wp admin/css/HTTP/1.1”404556“binance.com”“Mozilla/5.0(Windows NT 10.0;Win64;x64)AppleWebKit/537.36(KHTML,如Gecko)Chrome/90.0.4430.85 Safari/537.36”“23.146.241.19”172.17。0.1---[10/Oct/2021:09:15:55 0000]“GET/.well/HTTP/1.1”404556“binance.com”Mozilla/5.0(Windows NT 10.0;Win64;x64)AppleWebKit/537.36(KHTML,如Gecko)Chrome/90.0.4430.85 Safari/537.36“23.146.241.19”172.17。0.1--[10/Oct/2021:09:16:09 0000]“GET/sites/default/files/HTTP/1.1”404556“binance.com”Mozilla/5.0(Windows NT 10.0;Win64;x64)AppleWebKit/537.36(KHTML,类似Gecko)Chrome/90.0.4430.85 Safari/537.36“23.146.241.19”172.17。0.1--[10/Oct/2021:09:16:30 0000]“GET/admin/controller/extension/extension/HTTP/1.1”404 556“binance.com”“Mozilla/5.0(Windows NT 10.0;Win64;x64)AppleWebKit/537.36(KHTML,类似Gecko)Chrome/90.0.4430.85 Safari/537.36”“23.146.241.19”172.17。0.1--[10/Oct/2021:09:16:41 0000]“GET/uploads/HTTP/1.1”404556“binance.com”Mozilla/5.0(Windows NT 10.0;Win64;x64)AppleWebKit/537.36(KHTML,如Gecko)Chrome/90.0.4430.85 Safari/537.36“23.146.241.19”172.17。0.1--[10/Oct/2021:09:16:50 0000]“GET/images/HTTP/1.1”404 556“binance.com”Mozilla/5.0(Windows NT 10.0;Win64;x64)AppleWebKit/537.36(KHTML,类似Gecko)Chrome/90.0.4430.85 Safari/537.36“23.146.241.19”172.17。0.1--[10/Oct/2021:09:17:02 0000]“GET/files/HTTP/1.1”404556“binance.com”Mozilla/5.0(Windows NT 10.0;Win64;x64)AppleWebKit/537.36(KHTML,类似Gecko)Chrome/90.0.4430.85 Safari/537.36“23.146.241.19”
共有1个答案
很可能使用了docker REST API端口2375。
https://www.bleepingcomputer.com/news/security/teamtnt-hackers-target-your-poorly-configured-docker-servers/
-
问题内容: 首先是第一件事。我的系统信息和版本: 容器中的进程变成僵尸之后,我无法停止容器。升级到docker 0.9.0后,我在服务器上看到大量僵尸。例: 我可以看到 没有在节点进程25332上调用wait()来保持僵尸存活。所以我检查了strace在做什么,它似乎卡在了。stract实际上一开始就卡住了,只是显示了这一点: 但是在我运行sudo docker kill 3da5764b7bc9
-
本文向大家介绍请你说一下僵尸进程?相关面试题,主要包含被问及请你说一下僵尸进程?时的应答技巧和注意事项,需要的朋友参考一下 参考回答: 1)正常进程 正常情况下,子进程是通过父进程创建的,子进程再创建新的进程。子进程的结束和父进程的运行是一个异步过程,即父进程永远无法预测子进程到底什么时候结束。 当一个进程完成它的工作终止之后,它的父进程需要调用wait()或者waitpid()系统调用取得子进程
-
本文向大家介绍docker容器内网络请求缓慢问题解决,包括了docker容器内网络请求缓慢问题解决的使用技巧和注意事项,需要的朋友参考一下 在使用docker的过程中发现了几个问题,在docker里进行的网络请求经常会失败,比如npm install以及bundle install等操作,或者是作为中间层在应用中去获取api数据的过程经常会出现timeout等情况,所以开始探究docker的网络机
-
在问我的问题之前,我已经访问了这个问题,我没有看到任何答案。 以下场景是,我有一个前端应用(Angular),它与两个单独的容器中的API(节点)隔离,还有两个单独的网络。喜欢这个: 我在nginx服务器上有我的前端,但是当调用时,它请求自己而不是我的API。 在一个论坛上,他们说应该通过:添加到package.json中来解决这个问题。 但我真正想知道的是,我的前端如何与后端通信以进行API调用
-
问题内容: 如何通过 HTTPS* 发送ajax GET 请求? * 抛出这个: 是否有其他方法或解决方法可以使此工作正常进行? 如果我使用 Chrome 浏览到该网址,则可以得到响应。我认为没有理由为什么它不能在ajax请求上正常工作。 问题答案: 如果您由于当前处于 同一来源策略 而无法访问该页面,则无法向该页面发出AJAX请求。 **** 的 主机 , 端口 和 方案 (协议)必须在为了使A
-
Docker中容器网络不通,宿主机跟容器,容器跟docker0,容器跟容器网络都不通? 使用 tcpdump -i docker0 抓包时容器的网络就通了,但是关闭 tcpdump -i docker0容器的网络又不通了。