ドッカーのtomcat8-jre8がハッキングしましたか？

Question

ドッカーコンテナ（公式のドッカーコンテナlink）としてjelastic（dogado）上にweb-appをホストしました。 2週間後、私は電子メールを取得する：

各位Jelasticの顧客、今朝 異なるターゲットに大量のパケットを送信したコマンド 「を/ usr/local/tomcatに/ 3333」のプロセスがありました。症状はドッカーのように見えます インスタンスにセキュリティホールがあり、DDoS攻撃またはボットネット の一部に使用されました。

topコマンドは、このプロセスを示した：

PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 
334 root 20 0 104900 968 456 S 99.2 0.1 280:51.95 3333 

root@node0815-somename:/# ls -al /proc/334 
... 
lrwxrwxrwx 1 root root 0 Jul 26 08:16 cwd -> /usr/local/tomcat 
lrwxrwxrwx 1 root root 0 Jul 26 08:16 exe -> /usr/local/tomcat/3333 

我々はプロセスを殺して、ファイルのパーミッションを変更しました：

root@node0815-somename:/# kill 334 
root@node0815-somename:/# chmod 000 /usr/local/tomcat/3333 

より多くのセキュリティを調査するか、使用してください固執ドッカーテンプレート。

誰も以前に似たような問題が発生しましたか？コンテナがハッキングされた可能性はありますか？

Answer 1

容器を提供連中は私にヒントを与えた...

私はROOT戦争を削除します。

RUN rm -rf /usr/local/tomcat/webapps/ROOT 

私はtomcatがサンプルアプリケーションを提供していることを完全に忘れています。だから私はセキュリティホールを削除する必要があります：

RUN rm -rf /usr/local/tomcat/webapps/ 

Answer 2

保護ツールを使用していますか？保護されていない場合にコンテナをハッキングできるシナリオを除き、

IPTablesとFail2Banを使用して、ハッキング攻撃からコンテナを保護することを強くお勧めします（SSHを使用してDockerコンテナへのルートアクセスが可能なので、これらのパッケージをインストールして設定できます）。あなたの容器。

また、すべてのコンテナログ（DashboardまたはSSH経由）にアクセスできるため、ログを分析して予防措置を講じることができます。

よろしくお願いいたします。