01、概述

很多开源组件封装成容器镜像进行容器化部署在提高应用部署效率和管理便捷性的同时，也带来了一些安全挑战。一旦开源系统出现安全漏洞，基于资产测绘就很容易关联到开源组件，可能导致被批量利用。

在本文中，我们将分享一个真实的Docker容器应急实例，涉及到基于开源组件漏洞披露的前后时间段内，容器遭遇挖矿程序植入的情况。我们将深入分析排查过程，还原入侵的步骤和手段，帮助读者了解应对挖矿程序入侵的实际应急操作。

02、分析排查

（1）使用top命令查看，发现kdevtmpfsi进程异常，CPU占用率199%。

图片

（2）通过进程PID和USER查看进程信息，通过进程链定位到进程所在容器的进程PID。

图片

（3）通过进程PID查找对应容器名称，容器名：metabase。

（4）使用docker top 查看容器中的进程信息，找到到容器内异常进程。如下图：异常进程kdevtmpfsi（PID:5613）对应的父进程为JAVA进程(PID:2301)。据此，可初步判断，java应用被入侵，导致容器被植入挖矿木马。

图片

03、溯源分析

（1）使用docker logs查看容器日志，并通过异常信息定义到漏洞触发的位置。如下图：通过POST提交请求，使用wget和curl命令下载挖矿脚本并执行。

docker logs metabase