Dockerコンテナのpostgresqlがマルウェアに感染した件について - Qiita

背景 Dockerコンテナを立てたらマルウェアに感染したのでサイバーセキュリティの啓蒙を兼ねてメモ書きしてみました。 注意事項 マルウェアに感染した被害の対処方法を記述しています。マルウェア自体の機能や解析の解説ではなく一般利用者ユーザーの視点から感染経路と対応方法についての記述になります。 マルウェア感染状況 症状 Dockerコンテナを稼働させたホストのロードアベレージ(CPU負荷)が常時4を超える状況になっていました。つまり400%でホストがフル回転してた訳ですな。 例えるならエヴァンゲリオン初号機が暴走してマヤちゃんがコンソール画面に向かって叫んでいるところです（違） こうなるとクラウドサービスのAWSとかだと英文で警告アラートが飛んで来ますし毎日課金されで膨大な利用料金請求が来ることになります。恐ろしい！！ 状況の調査 CPUの利用状況やメモリの使用量などを調査するツール類があり

[phonoscopia]

色々書いてあるが 5432 が野晒しの上に Postgres のパスワードもデフォだったんかい！マルウェア感染は本質ではないのでは…

[matchy2]

凡ミスであろうとも事例が公開されるのは後進者にとってとても良いことなのでそこを責めるのはやめましょう

[taguch1]

外部にポート解放してパスワード適当だったのと考えると特に心配する必要は無さそう。タイトルで焦った。インフラ設定はミスると怖いのでちゃんとコード化してレビューしよう。

[kako-jun]

postgreSQLコンテナをデフォルトパスワード、ポートのまま公開したら、そのコンテナが攻撃されるのは分かるけど、なぜDockerホスト側に不正なファイルを置けたのか分からない。この対策で本当に解決してるのかな

[habarhaba]

記事に疑問を持って調べたら、PostgreSQLにログインできると任意の外部コマンドも実行できることを知った。イージーミスの入り口からここまでクリティカルなことができるなんて攻撃側はよく知ってるなあ

[bayaread]

AWSならECSタスクのセキュリティグループ設定とかで簡単に防御できるとこほなので、やっぱりクラウドのほうがセキュリティ対策は楽だなあ...

[civicpg]

失敗談の共有は勇気がいる。dockerの5432がiptablesの設定で誤って開放してたは失敗が理解できたけど。"グローバルIPアドレスをホスト側にstatic NATして" オンプレでインターネット経由でDB接続させてるのかな。

[taruhachi]

げ。。。確かにDockerコンテナならセキュリティを気にせずサービスだけさくっと安全に使うという訳にはいかんのか、、、。

[yabu_kyu]

「アカウント情報はパスワードと共に「postgres」に設定」

[nakag0711]

PostgreSQLって外部コマンド実行はCOPYコマンドでやるらしい

[golden_eggg]

同じくタイトルで一瞬誤解した

[kz14]

対処法の「コンテナ削除」ってDB消えるん？

[Nyoho]

Dockerの中に入られるのも怖いな〜

[igrep]

ありがたい共有

[y-kawaz]

只の設定不備で、公式イメージに仕込まれてたとかじゃなくて良かった。／一度侵入された環境は何が残ってるか分からんから特定ファイルの削除とかじゃなく事丸ごと捨てるべき。只のコンテナなんだから尚更。

[dorapon2000]

“ホスト側のOSはUbuntu Serverなので一般的にufwを使ってファイアウォール設定します。 ところがDockerコンテナの場合はufwの設定に関わらずiptablesにて直接設定されます。”

[fn7]

パスワードログインできれば任意のコマンドが実行できるのか。

[flont]

初期アカウントのDBポートをグローバル公開、読んでるだけで胃が痛くなる

[n593977]

ufwで設定したつもりがdockerがiptablesでポート晒すの、昔同じことやった

[knjname]

割とよくあることだと思っている。何も知らない素人のサーバ構築はレビューしないと駄目。

[natural90000]

“ホストのサービスポートが外部公開されていないか無料で確認するサービスがSHODAN”

[kobito19]

postgressのポート開放してるだけではファイル設置&プロセス起動なんてされんやろ...？ ufw, iptables の下りも理解があやしい。原因は別にあるんちゃう？ / DBのデータぶっこ抜かれてるわけだけどそれはええんか

[Soraneko]

Docker関係あるかなこれ。とおもったけど、ufwとDocker -pとのがっちゃんこでってかんじね。

[tkmkg8m]

PostgreSQLをデフォルトのポート、ユーザー名、パスワードで公開していたら侵入されてマルウェア感染したという話。大変でしたね。外部コマンド実行、デフォルトオフになっててよさそう感はある。

[fashi]

Webサーバからしかアクセスできないからパスワード簡単なやつにしてたらうっかり外部公開されてましたってことか

[kybernetes]

ポート外部開放なんてやらかすの私だけかと思った。

[mkusunok]

参考になるけど、この切り分けだいぶ辛そうだな

[snowcrush]

ローカル環境で動かす前提のサーバは全部デフォルトで127.0.0.1にバインドして欲しい。Dockerもlocalhostだけ受け付けてくれ。どうしてもグローバルに公開したいならトンネル張ってバックドア開けろ。その方がまだマシ。

[Fluss_kawa]

dockerってiptablesを直接いじるのか。まぁそうか。というかpotgresqlとか、mysqlってdocker使うメリットがいまいちわからん。

[prograti]

グローバルIPでDBサーバにアクセスできるようにしてて間違ってポートを解放しちゃったってこと？外部からDBサーバにアクセスできるのはリモートからメンテナンスできるようにするためかな？VLAN分けたりしないのかな？

[SUZUSHIRO]

DockerHubのポスグレコンテナがマルウェア感染してたわけではなく、初期パスでポート開放してたのが原因ってハナシ

[d6rkaiz]

元々のコンテナが感染してたのかとおもったら、ポート解放＆パスワードミスか。タイトルに釣られた。Docker関係ないやん

[ya--mada]

postgresポートが開いてて侵入されてマイナーを動かされていたのであって、感染してないしマルウェアかと言われると疑問だ。postgresのdockerコンテナが不正アクセスされたと言われれば分かりやすい。

[n314]

本題じゃないけど、postgresにパスワードって設定する？Dockerだから必要なのかな。rootとかもパスワード無しにしてsudoか公開鍵ログインしか使えないようにするテクニックがあるよね。

[kotatsuhal]

Docker も PostgreSQL も悪くない。タイトルの書き方よ。

[zgmf-x20a]

ブコメの数行で事態を理解。

[sho]

良いまとめ。Dockerにはこの手の罠が多いから同じ目に遭ってる人は多いしけど、ちゃんと調べて対策を学習したこの人は偉い。