Вредоносное ПО Kinsing проникает через скомпрометированные образы Dockerhub?

У меня есть сервер, инфицированный вредоносным ПО Kinsing, которое майнит криптовалюту на вашем сервере, максимизируя загрузку процессоров.

Вредоносное ПО первоначально создает файлы /tmp/kdevtmpfs и /tmp/kinsing. Если вы удалите эти файлы и завершите процесс, они будут воссозданы в других местах на диске, а также внутри ваших контейнеров, чтобы продолжить свою работу по добыче.

Я первоначально применил это решение, и на некоторое время я освободился от этого, но вскоре оно возродилось с немного другим именем:

Я наткнулся на множество постов, указывающих на уязвимости в Docker, такие как его возможность контролировать iptables и т. д.

Я установил DOCKER_OPTS="--iptables=false" сразу после установки Docker и настроил брандмауэр на новом сервере, блокируя все входящие запросы, кроме ssh, http и https, но это, похоже, не повлияло на способность ошибки инфицировать мой сервер.

Я предполагаю, что это происходит через компрометированные образы Docker. Я использую следующие образы, загруженные через docker-compose:

• dpage/pgadmin4
• rocker/shinyverse
• kartoza/postgis:12.0

Я не видел никаких публичных заявлений от администраторов dockerhub о возможности распространения этого вредоносного ПО через компрометированные образы, поэтому я публикую это здесь, чтобы спросить советы о том, как смягчить эту проблему и также избежать повторной инфекции в будущем.

Я рассматривал возможность полностью отказаться от Docker и вернуться к традиционной серверной конфигурации и развертыванию, но, не уверенный в том, как это распространение происходит, я бы предпочел отложить это решение.

Обновление

Я изменил свой docker-compose, чтобы загружать только официальный образ Postgis: postgis/postgis:latest и dpage/pgadmin4 с dockerhub и сбросил виртуальный сервер, и через несколько часов, просто имея контейнеры с полностью закрытым брандмауэром, вредоносное ПО вернулось. Похоже, что вредоносное ПО внедряется, когда мы загружаем образы с dockerhub. Поскольку вредоносное ПО написано на golang, отсутствие go на вашем сервере, кажется, является хорошим способом защитить себя от него. Единственная проблема в том, что сам Docker является программой на Go, поэтому это подразумевает избавление от Docker тоже.

Docker, по сути, это просто способ развертывания приложений на вашем сервере. Хотя злоумышленники использовали образы на Docker Hub для развертывания своего вредоносного ПО, это не является внутренней проблемой Docker.

Чтобы запустить контейнер Docker на вашем хосте, злоумышленнику необходимо уже иметь доступ root или быть членом группы docker (предполагая, что вы не настроили Docker для прослушивания на сетевом порту).

Я бы предложил общее правило реагирования на инфекцию вредоносным ПО, которое, вероятно, здесь применимо: вам следует считать, что хост скомпрометирован, и восстановить его с нуля.

Что касается использования образов из Docker Hub, в общем, все, кроме “официальных” образов, полностью не подвержено курированию, поэтому Docker Hub не проверяет их. С 7,9 млн+ образов было бы действительно непрактично для них это сделать.

С точки зрения безопасности, в идеале никогда не развертывайте образы, которые не являются официальными, и если вы делаете это, будьте осторожны, чтобы проверить их на наличие вредоносного ПО перед запуском.