最后更新于
最后更新于
有人怀疑某个Docker容器已被入侵:
您可以轻松地使用以下命令查找有关此容器对镜像所做修改:
在上一个命令中,C 代表 Changed,A 代表 Added。
如果你发现一些有趣的文件,比如 /etc/shadow
被修改了,你可以从容器中下载它,以检查是否存在恶意活动:
您还可以通过运行一个新容器并从中提取文件来与原始文件进行比较:
如果发现添加了一些可疑文件,您可以访问容器并进行检查:
然后,您可以解压图像并访问 blobs,以搜索您在更改历史记录中发现的可疑文件:
您可以从运行的镜像中获取基本信息:
您还可以使用以下命令获取更改历史记录摘要:
您还可以使用以下命令从镜像生成dockerfile:
这使您能够浏览Docker镜像的不同blob,并检查哪些文件已被修改/添加。红色表示已添加,黄色表示已修改。使用tab键切换到其他视图,使用空格键折叠/打开文件夹。
使用die,您将无法访问镜像不同阶段的内容。要这样做,您需要解压缩每个层并访问它。 您可以从解压缩镜像的目录中解压缩图像的所有层,执行:
请注意,当您在主机内运行一个docker容器时,您可以从主机上运行ps -ef
命令来查看容器中运行的进程
当您获得一个导出的 Docker 镜像(可能是 .tar
格式)时,您可以使用 来 提取修改的摘要:
为了找到 Docker 镜像中添加/修改的文件,您还可以使用 (从 下载)实用程序:
因此(作为root用户)您可以从主机中转储进程的内存,并搜索凭据,就像中一样。