Dockerコンテナのpostgresqlがマルウェアに感染した件について - Qiita

表示されたプロセス一覧の中からCPU負荷を極端に使用しているプロセスを探したところありました。 「/tmp/kinsing」 「/tmp/kdevtmpfsi」 この2つのプロセスがCPU負荷300%を超えていました。 kinsing(kdevtmpfsi)マルウェア このDockerマルウェアは感染したDockerホストで仮想通貨をマイニングしてCPU負荷を掛ける仮想通貨マイニングマルウェアです。ここではマルウェア自体の機能と解析の解説は記述しません。 詳しくは以下のリンク先を参考にしてください。 脅威：コンテナ環境を対象としたマルウェア「Kinsing」が増加中 #AquaSecurity #セキュリティ #コンテナ #マルウェア コンテナを標的にしたマルウェア、Aqua Security Softwareが攻撃手法を解説 感染経路 誤って外部公開されたDocker APIが主な感染経

[phonoscopia]

色々書いてあるが 5432 が野晒しの上に Postgres のパスワードもデフォだったんかい！マルウェア感染は本質ではないのでは…

[matchy2]

凡ミスであろうとも事例が公開されるのは後進者にとってとても良いことなのでそこを責めるのはやめましょう

[taguch1]

外部にポート解放してパスワード適当だったのと考えると特に心配する必要は無さそう。タイトルで焦った。インフラ設定はミスると怖いのでちゃんとコード化してレビューしよう。

[kako-jun]

postgreSQLコンテナをデフォルトパスワード、ポートのまま公開したら、そのコンテナが攻撃されるのは分かるけど、なぜDockerホスト側に不正なファイルを置けたのか分からない。この対策で本当に解決してるのかな

[habarhaba]

記事に疑問を持って調べたら、PostgreSQLにログインできると任意の外部コマンドも実行できることを知った。イージーミスの入り口からここまでクリティカルなことができるなんて攻撃側はよく知ってるなあ

[bayaread]

AWSならECSタスクのセキュリティグループ設定とかで簡単に防御できるとこほなので、やっぱりクラウドのほうがセキュリティ対策は楽だなあ...

[civicpg]

失敗談の共有は勇気がいる。dockerの5432がiptablesの設定で誤って開放してたは失敗が理解できたけど。"グローバルIPアドレスをホスト側にstatic NATして" オンプレでインターネット経由でDB接続させてるのかな。

[nakag0711]

PostgreSQLって外部コマンド実行はCOPYコマンドでやるらしい

[yabu_kyu]

「アカウント情報はパスワードと共に「postgres」に設定」

[taruhachi]

げ。。。確かにDockerコンテナならセキュリティを気にせずサービスだけさくっと安全に使うという訳にはいかんのか、、、。

[Fushihara]

linux側のFWをdockerが突き抜けるのは本当にトラップだよねえ。FWはマシンの外側でするのが絶対条件

[golden_eggg]

同じくタイトルで一瞬誤解した

[kz14]

対処法の「コンテナ削除」ってDB消えるん？

[Nyoho]

Dockerの中に入られるのも怖いな〜

[igrep]

ありがたい共有

[y-kawaz]

只の設定不備で、公式イメージに仕込まれてたとかじゃなくて良かった。／一度侵入された環境は何が残ってるか分からんから特定ファイルの削除とかじゃなく事丸ごと捨てるべき。只のコンテナなんだから尚更。

[dorapon2000]

“ホスト側のOSはUbuntu Serverなので一般的にufwを使ってファイアウォール設定します。 ところがDockerコンテナの場合はufwの設定に関わらずiptablesにて直接設定されます。”

[fn7]

パスワードログインできれば任意のコマンドが実行できるのか。

[flont]

初期アカウントのDBポートをグローバル公開、読んでるだけで胃が痛くなる

[n593977]

ufwで設定したつもりがdockerがiptablesでポート晒すの、昔同じことやった

[knjname]

割とよくあることだと思っている。何も知らない素人のサーバ構築はレビューしないと駄目。

[kusigahama]

間違ってはないけど誤解する系タイトルだ

[natural90000]

“ホストのサービスポートが外部公開されていないか無料で確認するサービスがSHODAN”

[kobito19]

postgressのポート開放してるだけではファイル設置&プロセス起動なんてされんやろ...？ ufw, iptables の下りも理解があやしい。原因は別にあるんちゃう？ / DBのデータぶっこ抜かれてるわけだけどそれはええんか

[Soraneko]

Docker関係あるかなこれ。とおもったけど、ufwとDocker -pとのがっちゃんこでってかんじね。

[tkmkg8m]

PostgreSQLをデフォルトのポート、ユーザー名、パスワードで公開していたら侵入されてマルウェア感染したという話。大変でしたね。外部コマンド実行、デフォルトオフになっててよさそう感はある。

[fashi]

Webサーバからしかアクセスできないからパスワード簡単なやつにしてたらうっかり外部公開されてましたってことか

[kybernetes]

ポート外部開放なんてやらかすの私だけかと思った。

[mkusunok]

参考になるけど、この切り分けだいぶ辛そうだな

[snowcrush]

ローカル環境で動かす前提のサーバは全部デフォルトで127.0.0.1にバインドして欲しい。Dockerもlocalhostだけ受け付けてくれ。どうしてもグローバルに公開したいならトンネル張ってバックドア開けろ。その方がまだマシ。

[Fluss_kawa]

dockerってiptablesを直接いじるのか。まぁそうか。というかpotgresqlとか、mysqlってdocker使うメリットがいまいちわからん。

[prograti]

グローバルIPでDBサーバにアクセスできるようにしてて間違ってポートを解放しちゃったってこと？外部からDBサーバにアクセスできるのはリモートからメンテナンスできるようにするためかな？VLAN分けたりしないのかな？

[SUZUSHIRO]

DockerHubのポスグレコンテナがマルウェア感染してたわけではなく、初期パスでポート開放してたのが原因ってハナシ

[d6rkaiz]

元々のコンテナが感染してたのかとおもったら、ポート解放＆パスワードミスか。タイトルに釣られた。Docker関係ないやん

[ya--mada]

postgresポートが開いてて侵入されてマイナーを動かされていたのであって、感染してないしマルウェアかと言われると疑問だ。postgresのdockerコンテナが不正アクセスされたと言われれば分かりやすい。

[n314]

本題じゃないけど、postgresにパスワードって設定する？Dockerだから必要なのかな。rootとかもパスワード無しにしてsudoか公開鍵ログインしか使えないようにするテクニックがあるよね。

[kotatsuhal]

Docker も PostgreSQL も悪くない。タイトルの書き方よ。