蓝队技能-应急响应篇&Docker镜像&容器分析&Dockfile路径定位&基线扫描

知识点：
应急响应-Docker镜像-应急&分析

Docker拉取的镜像被攻击者拿下，植入后门或挖矿等恶意应用，那么该如何应急？

演示案例-蓝队技能-Docker镜像-挖矿

1、启动挖矿镜像并进行定性

docker run -itd --restart=always -e POOL_URL=pool.supportxmr.com:5555 -e POOL_USER=45rfqYG9iNPddvenLpjFskJUhFgqBkdhDeah3X8D8ZJM3KpKqZWCLz3ewLsVd269tZiEyQRV53Ldv2DJb6xeuFokF7SBb1p --name xmrig pmietlicki/xmrig

2、分析镜像

查看所有容器镜像

docker ps -a

使用docker history命令查看指定镜像的历史

加上–no-trunc，就可以看到全部信息。

docker history pmietlicki/xmrig | grep xmrig

查看镜像的配置信息

docker inspect --format='{{json .Config}}' pmietlicki/xmrig

获取镜像的存储路径

docker inspect --format='{{.GraphDriver.Data.LowerDir}}' pmietlicki/xmrig
路径有很多个，需要一个一个试

3、处置镜像

查看所有容器镜像

docker ps -a

进入镜像

docker exec -it 容器ID号 /bin/bash

就可以rm-rf 删除这个文件并且使用kill 命令删除相关进程即可

暂停镜像

docker pause <容器ID>

删除镜像

docker rm -f <containerId>
docker rmi <IMAGE_NAME>

演示案例-蓝队技能-Docker镜像-web后门

1、后门镜像

git clone https://github.com/vulhub/vulhub.git
cd struts2/s2-046/
docker-compose build
docker compose up -d

2、后门处置-河马查杀

https://n.shellpub.com/
https://blog.51cto.com/u_16213400/7854720

docker cp hm-linux-amd64  6e24184cc24e:/tmp/hm-linux-amd64 

//把本地hm-linux-amd64文件目录复制到6e24184cc24e容器里的tmp目录下并命名为hm-linux-amd64，这里的hm-linux-amd64可以是单个文件或文件夹，6e24184cc24e可以为容器ID或者容器名称，使用docker ps获取即可

直接使用rm -rf 删除即可

3、docker基线检测

项目地址：https://github.com/aquasecurity/trivy
wget https://github.com/aquasecurity/trivy/releases/download/v0.54.1/trivy_0.54.1_Linux-64bit.deb
sudo dpkg -i trivy_0.54.1_Linux-64bit.deb
trivy image 容器名称(docker ps -a 获取)

原文地址：https://blog.csdn.net/m0_60571842/article/details/142362484

免责声明：本站文章内容转载自网络资源，如本站内容侵犯了原著者的合法权益，可联系本站删除。更多内容请关注自学内容网（zxcms.com）！