Docker Forensics
कंटेनर संशोधन
कुछ संदेह है कि किसी डॉकर कंटेनर को कंप्रोमाइज किया गया था:
आप इस कंटेनर में की गई संशोधनों को छवि के संदर्भ में आसानी से खोज सकते हैं:
पिछले कमांड में C का मतलब बदल गया है और A, जोड़ा गया है।
अगर आपको लगता है कि कुछ दिलचस्प फ़ाइल जैसे कि /etc/shadow
में संशोधन किया गया है, तो आप इसे कंटेनर से डाउनलोड करके जांच के लिए कर सकते हैं:
आप एक नए कंटेनर चलाकर इसकी मूल फ़ाइल को निकालकर इसे मूल फ़ाइल के साथ तुलना कर सकते हैं:
यदि आपको पता चलता है कि कुछ संदेहपूर्ण फ़ाइल जोड़ी गई थी तो आप कंटेनर तक पहुँच सकते हैं और इसे जांच सकते हैं:
छवि संशोधन
जब आपको एक निर्यातित डॉकर छवि दी जाती है (संभावित रूप में .tar
प्रारूप में) तो आप container-diff का उपयोग कर सकते हैं संशोधनों का सारांश निकालने के लिए:
फिर, आप छवि को डीकंप्रेस कर सकते हैं और ब्लॉब्स तक पहुंच सकते हैं जिससे आप संशयित फ़ाइलों की खोज कर सकते हैं जो आपने परिवर्तन इतिहास में पाई हो सकती हैं:
मूल विश्लेषण
आप चल रही छवि से मूल जानकारी प्राप्त कर सकते हैं:
आप यहाँ एक सारांश परिवर्तन के इतिहास प्राप्त कर सकते हैं:
आप एक छवि से एक डॉकरफ़ाइल भी उत्पन्न कर सकते हैं इसके साथ:
डाइव
डॉकर इमेजेस में जोड़ी गई/संशोधित फ़ाइलें खोजने के लिए आप डाइव (इसे रिलीज़ से डाउनलोड करें) उपयोग कर सकते हैं:
यह आपको डॉकर इमेज के विभिन्न ब्लॉब के माध्यम से नेविगेट करने और जांचने की अनुमति देता है कि कौन से फ़ाइलें संशोधित/जोड़ी गई थीं। लाल रंग जोड़ी गई को और पीला रंग संशोधित को दर्शाता है। टैब का उपयोग दूसरे दृश्य में जाने के लिए और स्पेस को फोल्डर को संक्षिप्त/खोलने के लिए करें।
इसके साथ आप इमेज के विभिन्न स्टेज के सामग्री तक पहुंच नहीं पाएंगे। इसे करने के लिए आपको प्रत्येक लेयर को डीकंप्रेस करना और उस तक पहुंचना होगा। आप इमेज से सभी लेयर्स को डीकंप्रेस कर सकते हैं जिसे इमेज को डीकंप्रेस किया गया था उस निर्देशिका से जहां से इमेज को डीकंप्रेस किया गया था कार्यान्वित करके:
मेमोरी से क्रेडेंशियल्स
ध्यान दें कि जब आप एक होस्ट के अंदर एक डॉकर कंटेनर चलाते हैं तो आप होस्ट से कंटेनर पर चल रहे प्रोसेस देख सकते हैं बस ps -ef
चलाकर
इसलिए (रूट के रूप में) आप होस्ट से प्रोसेस की मेमोरी डंप कर सकते हैं और क्रेडेंशियल्स की खोज कर सकते हैं बस निम्नलिखित उदाहरण की तरह।
Last updated