Docker tomcat8-jre8 被黑了吗？

Question

我在 jelastic (dogado) 上托管了一个网络应用程序作为 docker 容器（官方 docker 容器 link）。 2 周后我收到一封电子邮件：

Dear Jelastic customer, there was a process of the command "/usr/local/tomcat/3333" which was sending massive packets to different targets this morning. The symptoms look like the docker instance has a security hole and was used in an DDoS attack or part of a botnet.

The top command showed this process:

PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
334 root 20 0 104900 968 456 S 99.2 0.1 280:51.95 3333

root@node0815-somename:/# ls -al /proc/334
...
lrwxrwxrwx 1 root root 0 Jul 26 08:16 cwd -> /usr/local/tomcat
lrwxrwxrwx 1 root root 0 Jul 26 08:16 exe -> /usr/local/tomcat/3333

We have killed the process and changed the permissions of the file:

root@node0815-somename:/# kill 334
root@node0815-somename:/# chmod 000 /usr/local/tomcat/3333

Please investigate or use a more security hardenend docker template.

有没有人遇到过相同或类似的问题？有没有可能是容器被黑了？

Answer 1

您使用任何保护工具吗？我们不排除在没有保护的情况下您的容器可能被黑客入侵的情况。

我们强烈建议使用 IPtables 和 Fail2Ban 来保护您的容器免受黑客攻击（您可以使用 SSH 对 Docker 容器进行 root 访问，因此您可以安装和配置这些软件包） ，特别是如果您已将 public IP 附加到您的容器。

此外，您可以访问所有容器日志（通过 Dashboard 或 SSH），因此您可以分析日志并采取预防措施。

祝你有愉快的一天。

Answer 2

提供容器的人给了我一个提示...

我只删除了 ROOT war。

RUN rm -rf /usr/local/tomcat/webapps/ROOT

我完全忘记了 tomcat 提供了示例应用程序。所以我必须删除安全漏洞：

RUN rm -rf /usr/local/tomcat/webapps/