https://www.opennet.dev/openforum/vsluhforumID3/114580.html В каталоге Docker Hub (https://hub.docker.com/) выявлено 17 образов контейнеров, которые содержали (https://kromtech.com/blog/security-center/cryptojacking-invades-cloud-how-modern-containerization-trend-is-exploited-by-attackers) бэкдоры или скрытый код для майнинга криптовалют. Первое появление вредоносных образов было зафиксировано 10 месяцев назад и за это время злоумышленниками под одной учётной записью было размещено 17 подобных образов. <br><br><br>В сумме вредоносные образы были загружено более 5 миллионов раз, а доход от майнинга, судя по состоянию указанного в образах кошелька, составил 544.74 Monero (по сегодняшнему курсу 70 тысяч долларов, по состоянию на начало июня - 90 тысяч). Вредоносные образы в основном применялись в ходе атак на некорректно (https://www.opennet.ru/opennews/art.shtml?num=48113) настроенные (https://www.opennet.ru/opennews/art.shtml?num=48329) системы оркестровки контейнеров (например, оставление отладочных обработчиков, допускающих неавторизированный доступ к API Kubernetes чере https://www.opennet.dev/openforum/vsluhforumID3/114580.html#50 Wed, 20 Jun 2018 02:11:17 GMT Год ору об этом. И о том, что с версии 17.06 что-ли докер даже на селинукс плюёт откровенно. Установили бэкдоры? А знаете, так вам и надо, ибо поделом.<br> https://www.opennet.dev/openforum/vsluhforumID3/114580.html#49 Sun, 17 Jun 2018 19:59:37 GMT И ещё сотни не удалены. Когда же до народа дойдёт что если распространяются бинарники, то это гарантировано вредоносное ПО, и никакая изоляция, контейнеризация и виртуалки не спасут. Привет снапу и флатпаку.<br> https://www.opennet.dev/openforum/vsluhforumID3/114580.html#48 Sun, 17 Jun 2018 14:41:41 GMT Шок! Паника! Если позволять запускать на своих хостах незнамо что, то враги могут этим воспользоваться!<br> https://www.opennet.dev/openforum/vsluhforumID3/114580.html#47 Fri, 15 Jun 2018 22:23:53 GMT &gt;Точнее, lxc. Потому что ядро линукс в варианте ovz...<br><br>Ага, сравнили гомно (docker) с мусором (ovz... да, ядро до сих пор 2.х) и конфеткой (lxc)<br> https://www.opennet.dev/openforum/vsluhforumID3/114580.html#46 Fri, 15 Jun 2018 16:01:39 GMT Изоляция докера не предназначена для защиты от её обхода, она там сделана по принципу "чтобы программы не сломать, не знающие ничего о докере". На программы, знающие о докере и его ломающие защита не расчитана. Также как и на защиту от атак по сторонним каналам.<br> https://www.opennet.dev/openforum/vsluhforumID3/114580.html#45 Fri, 15 Jun 2018 14:16:40 GMT Давно было ясно что докер и ему подобные контейнеры только привнесут вирей.<br> https://www.opennet.dev/openforum/vsluhforumID3/114580.html#44 Fri, 15 Jun 2018 09:16:58 GMT &gt;&gt; он ее довольно так себе умеет <br>&gt; Он её умеет настолько, насколько её умеет ядро линукс.<br><br>Точнее, lxc. Потому что ядро линукс в варианте ovz умеет изоляцию контейнеров _гораздо_ лучше -- вот той уже можно пользоваться не только для удобства, а и ради повышения суммарной безопасности.<br> https://www.opennet.dev/openforum/vsluhforumID3/114580.html#41 Fri, 15 Jun 2018 01:30:21 GMT &gt; он ее довольно так себе умеет<br><br>Он её умеет настолько, насколько её умеет ядро линукс. <br> https://www.opennet.dev/openforum/vsluhforumID3/114580.html#40 Thu, 14 Jun 2018 22:01:08 GMT &gt; как-то неприлично мало по нынешним меркам<br><br>Так и дойная хипстота ещё не вымерла.<br>