受 DDoS 恶意软件感染的 Docker 服务器遭受极少数攻击

直到最近，Docker服务器被错误配置并暴露在网络上一直是加密货币挖掘恶意软件的攻击目标，这些恶意软件帮助犯罪集团通过劫持别人的云资源来获取巨额利润。

然而，在本周发布的一份报告中，趋势科技(Trend Micro)的安全研究人员发现，这似乎是针对Docker服务器的第一批有组织的持久性攻击，这些攻击利用DDoS恶意软件感染配置错误的群集。

据趋势科技报道，这两个僵尸网络运行的是XORDDoS和Kaiji恶意软件变种。这两种恶意软件操作都有很长的历史，特别是XORDDoS，它被发现已经使用多年。

然而，这两个DDoS僵尸网络通常以路由器和智能设备为目标，从来没有复杂的云设置，比如Docker集群。

“XORDDoS Kaiji已经知道利用telnet和SSH传播之前,所以我看到码头工人作为一个新的向量从而提高僵尸网络的潜力,一个绿色领域充满了新鲜水果的选择没有直接的竞争对手,”帕斯卡尔•Geenens Radware网络安全专员说。

“与物联网设备相比，Docker容器通常会提供更多的资源，但它们通常运行在一个更安全的环境中，容器可能很难不可能执行DDoS攻击，诸如路由器和IP摄像头等物联网设备的独特视角是，它们可以不受限制地访问互联网，但与受影响的环境中的容器相比，它们的带宽和功率通常更小。”Geenens补充说。

另一方面，容器通常可以访问更多的内存、CPU和网络资源，但网络资源可能仅限于一个或几个协议，导致那些‘超级’机器人支持的DDoS攻击载体更小。

但尽管DDoS团伙如何限制滥用入侵码头工人集群,Geenens说这不会阻止黑客攻击这个“绿色领域充满了新鲜的水果选择”,很少有脆弱的物联网设备,还没有被感染,这迫使黑客目标码头工人服务器。
虽然这是他们第一次入侵Docker集群，Geenens相信黑客经常使用Docker来管理他们自己的攻击基础设施。

“我没有立即的证据，但我很确定，就像合法应用程序从[Docker的]自动化和敏捷性(DevOps)中受益一样，非法应用程序也会受益。”

Docker黑客最常见的来源是管理接口(API)在没有认证或被防火墙保护的情况下在线暴露。对于希望保护服务器安全的读者来说，这是首先要检查的。

在报告中，趋势科技还建议服务器管理员通过以下一系列基本步骤来确保Docker的部署安全。