Docker Forensics
Container değişikliği
Bazı docker konteynerinin tehlikeye atıldığına dair şüpheler var:
Konteynır üzerinde yapılan değişiklikleri görüntülemek için şunu kullanabilirsiniz:
Önceki komutta C Değiştirildi anlamına gelir ve A, Eklendi anlamına gelir.
Eğer /etc/shadow
gibi ilginç bir dosyanın değiştirildiğini fark ederseniz, kötü amaçlı faaliyetleri kontrol etmek için dosyayı konteynerden indirebilirsiniz:
Ayrıca, yeni bir konteyner çalıştırarak ve dosyayı ondan çıkararak orijinaliyle karşılaştırabilirsiniz:
Eğer şüpheli bir dosyanın eklendiğini tespit ederseniz, konteynıra erişebilir ve kontrol edebilirsiniz:
Resim Modifikasyonları
Size bir dışa aktarılmış docker imajı verildiğinde (muhtemelen .tar
formatında) değişikliklerin özetini çıkarmak için container-diff kullanabilirsiniz:
Ardından, görüntüyü çözebilir ve şüpheli dosyaları aramak için bloklara erişebilirsiniz bulduğunuz değişiklik geçmişinde:
Temel Analiz
Çalışan görüntüden temel bilgileri alabilirsiniz:
Ayrıca bir özet değişiklik geçmişi alabilirsiniz:
Ayrıca bir görüntüden bir dockerfile oluşturabilirsiniz şu şekilde:
Dalış
Docker görüntülerinde eklenen/değiştirilen dosyaları bulmak için ayrıca dive (indirmek için sürümler bağlantısını kullanabilirsiniz):
Bu, Docker görüntülerinin farklı blokları arasında gezinmenizi sağlar ve hangi dosyaların değiştirildiğini/eklendiğini kontrol edebilirsiniz. Kırmızı eklenen anlamına gelir ve sarı değiştirilen anlamına gelir. Diğer görünüme geçmek için tab tuşunu kullanın ve klasörleri kapatmak/açmak için boşluk tuşunu kullanın.
Die ile görüntünün farklı aşamalarının içeriğine erişemezsiniz. Bunun için her katmanı açmanız ve erişmeniz gerekir. Görüntünün tüm katmanlarını açmak için görüntünün açıldığı dizinde şu komutu çalıştırarak açabilirsiniz:
Bellekten Kimlik Bilgileri
Dikkat edin, bir ana makine içinde bir docker konteyneri çalıştırdığınızda konteynerde çalışan işlemleri ana makineden görebilirsiniz sadece ps -ef
komutunu çalıştırarak
Bu nedenle (kök olarak) ana makineden işlemlerin belleğini dökerek ve aşağıdaki örnekte olduğu gibi kimlik bilgilerini arayabilirsiniz.
Last updated