Was die Zombie-Apokalypse mit ungeschützten Containern zu tun hat...

[the other]

Moinsen,
gerade bin ich hier kurz gestolpert: https://www.golem.de/news/fuer-kryp...-sich-durch-docker-container-2505-196424.html
Es geht da wohl um einen Trojaner, welcher gezielt docker Container befällt, welche direkt und unzureichend geschützt im Internet erreichbar sind. Der Trojaner kommt unter der Nennung "ngnix" (ja, genau wie der bekannte Reverseproxy) und tarnt sich schon namentlich so. Außerdem infiziert er weitere bestehende Container und schafft auch schnell neue. Ziel des kriminellen Unterfangens: das Schürfen von Cryptowährung.

Also: lest den Artikel im link, überlegt, ob ihr Container direkt aus dem Internet erreichbar habt und ergreift die nötigen Vorsorgemaßnahmen.
Ansonsten droht Untotes-Ungemach!

 

[blurrrr]

Angriffspunkt des Trojaners sind unzureichend geschützte und über das Internet erreichbare Docker-APIs.

Sorry, aber... Schuld selbst Davon ab...

Die Kaspersky-Forscher fanden bei ihrer Recherche im April weltweit 520 solcher über Port 2375 erreichbaren APIs. Einen Monat zuvor gab es sogar 647 davon.

Und das bei all den Installationen? Das ist quasi "nix"... Würde man dagegen jetzt die weltweit noch öffentlich zugänglichen Telnet-Zugänge zählen... oha...

Also wie es in dem dort verlinkten Artikel zu lesen ist, muss die API öffentlich zugänglich und schlecht gesichert. Denke nicht, dass irgendwer die API nach extern bereitstellt. Wenn man sowas macht (und braucht), dann wird man auch schon wissen, was man da macht. Das erklärt dann mitunter auch, warum "weltweit" nur so wenige öffentlich erreichbare APIs gefunden wurden

 

[the other]

Moinsen,

Sorry, aber... Schuld selbst

Ja, ist das nicht bei fast allen Endzeit / Apokalypsen so, dass es am Ende meist selbst verschuldet war? Passt also...
Interessant dabei (wenn auch bisher quantitativ überschaubar), das "Anstecken" anderer Container...
Und bei Zombiekatastrophen waren es ja auch anfangs nur ein paar wenige Untote...

Spass beiseite: da ja auch hier ab und an Nachfragen kommen, wie denn X oder Y direkt aus dem Internet erreichbar gemacht werden kann und viele Menschen (behaupte ich mal) die Container mit root Rechten laufen lassen anstelle von rootless (eher unsexy, finde ich nach kurzem Versuch) oder user mapping. Sicherlich ist eine offene API nochmal ein anderes Kaliber.
Trotzdem vielleicht ab und an mal kurz innehalten und überlegen, ob ein VPN Zugang vielleicht doch eher die sicherere Variante ist.

 

[Mavalok2]

Wie so oft gilt eben: Wer keine Ahnung hat, für den ist alles kein Problem. Und leider ist für viele Sicherheit kein Thema, solange alles so funktioniert wie sie wollen.