Docker Forensics
Konteyner Değişikliği
Bazı docker konteynerinin tehlikeye atıldığına dair şüpheler var:
Bu konteyner üzerinde yapılan değişiklikleri görüntülemek için şunu kullanabilirsiniz:
Önceki komutta C Değiştirildi anlamına gelir ve A, Eklendi anlamına gelir.
Eğer /etc/shadow
gibi ilginç bir dosyanın değiştirildiğini fark ederseniz, kötü amaçlı faaliyetleri kontrol etmek için dosyayı konteynerden indirebilirsiniz:
Ayrıca, yeni bir konteyner çalıştırarak ve dosyayı ondan çıkararak orijinaliyle karşılaştırabilirsiniz:
Eğer şüpheli bir dosyanın eklendiğini tespit ederseniz, konteynıra erişebilir ve kontrol edebilirsiniz:
Resim Modifikasyonları
Size bir dışa aktarılmış docker imajı verildiğinde (muhtemelen .tar
formatında) container-diff kullanarak modifikasyonların özetini çıkarabilirsiniz:
Ardından, görüntüyü çözümleyebilir ve şüpheli dosyaları aramak için değişiklik geçmişinde bulabileceğiniz bloklara erişebilirsiniz:
Temel Analiz
Çalışan görüntüden temel bilgileri alabilirsiniz:
Ayrıca şu komutla değişikliklerin özet tarihçesini alabilirsiniz:
Ayrıca bir görüntüden bir dockerfile oluşturabilirsiniz şu şekilde:
Dalış
Docker görüntülerinde eklenen/değiştirilen dosyaları bulmak için dive aracını da kullanabilirsiniz (indirmek için releases sayfasına gidin):
Bu, Docker görüntülerinin farklı blokları arasında gezinmenizi sağlar ve hangi dosyaların değiştirildiğini/eklendiğini kontrol edebilirsiniz. Kırmızı eklenen anlamına gelir ve sarı değiştirilen anlamına gelir. Diğer görünüme geçmek için tab tuşunu kullanın ve klasörleri daraltmak/açmak için boşluk tuşunu kullanın.
Die ile görüntünün farklı aşamalarının içeriğine erişemezsiniz. Bunun için her katmanı açmanız ve erişmeniz gerekir. Görüntünün tüm katmanlarını açmak için görüntünün açıldığı dizinden şu komutu çalıştırarak açabilirsiniz:
Bellekten Kimlik Bilgileri
Docker konteynerini bir ana makinede çalıştırdığınızda, ana makineden konteynerde çalışan işlemleri görebilirsiniz sadece ps -ef
komutunu çalıştırarak
Bu nedenle (kök olarak) ana makineden işlemlerin belleğini dökerek ve aşağıdaki örnekte olduğu gibi kimlik bilgilerini arayabilirsiniz.
Last updated