185 meneos
2116 clics
![Doki, el nuevo malware de Linux fija como objetivo las APIs de contenedores docker mal configurados](cache/33/34/media_thumb-link-3355843.jpeg?1596051846)
Doki, el nuevo malware de Linux fija como objetivo las APIs de contenedores docker mal configurados
Descubierto un malware de Linux indetectable que explota técnicas indocumentadas para permanecer bajo el radar y apunta a servidores Docker de acceso público alojados en plataformas de cloud populares, incluidas AWS, Azure y Alibaba Cloud.Según la última investigación de Intezer, en la actualidad existe una campaña de bots de minería de Ngrok que realiza escaneos en busca de puntos finales de la API de Docker mal configurados. Parece haber infectado muchos servidores vulnerables con nuevo malware.
|
comentarios cerrados
docs.docker.com/engine/security/rootless/
Lo que no tiene sentido es que para el 95% de los casos que corres apps sencillas en docker tengas que correr el demonio como root, cuando no debería ser necesario.
La norma mas importante es: No tengas abierto a internet nada que no tenga que ser consumido por terceras personas.
#3 ¿Te refieres a sockets UNIX? Y que pasa con hacerlo así?
En BSD, Docker sería equivalente a las "zones", no?
#12 me imagino que #1 se refiere a esto
En realidad casi nunca es necesario habilitar ese flag puesto que la mayoría de soluciones de gestión de cluster lo que hacen es instalar un agent que incorpora ya capas de seguridad.
blog.jessfraz.com/post/containers-zones-jails-vms/
Al final es lo que yo siempre le digo a todo el mundo: la gente habla sin tener ni puta idea, por puro ego. Por no quedarse callados y parecer que "no saben" van y abren la boca y demuestran que, efectivamente, no tienen ni puta idea.
Eso es la clave.
Normalmente las autoridades acaban bloqueando la IP desde donde se dan las órdenes a los equipos infectados (C2). En este caso la botnet consulta unos movimientos sobre una cuenta de criptomonedas (información publica) en control del atacante y se va al a última transacción que ha realizado, coge las primeras letras del identificador de la ultima transacción y es ahí donde conecta para esperar órdenes.
Si le bloquean ese dominio, hace otra pequeña transacción de poco dinero con esa cuenta de criptomoneda y registra el nuevo dominio.
Una gran idea usada para el mal, pero gran idea.
Lo que pasa es que habrá idiotas que lo exponen en 0.0.0.0:2375 (en este caso admitiría conexiones desde cualquier parte)
Vuelvo a insistir en las disculpas y entiendo que para muchos sigue siendo un buen refugio donde debatir, pero a ver si algún experto nos la traduce para que nos enteremos de algo y me tenga que tragar eso de que "tienen nulo interés general" y quedar como un gilipollas.
Hay que ser salvaje para forzar el 0....
Disculpas si ha sonado mal el comentario.
1. No es lo mismo programar en que programar para. Por ejemplo puedes programar en Windows un proyecto web multiplataforma.
2. Programar en Windows, Linux o MacOS hoy en día es prácticamente lo mismo. Los IDES que se suelen usar y las herramientas que se suelen usar están en los 3 SSOO. Más desde que puedes usar linux embebido en Windows. Yo uso ZSH en mi Windows con Cmder
3. Microsoft es uno de los mayores contribuyentes del Software libre. Maravillas como VS Code es suyo.
4. Sois absurdos los de las guerritas de Sistemas Operativos. Yo tengo un ordenador con los 3 y según que tareas me gusta más hacerlas en uno o en otro. Con repositorios y docker el Sistema Operativo es un simple terminal.
github.com/docker/compose
docs.docker.com/compose/
www.tutorialspoint.com/docker/docker_compose.htm
Mñas bien el problema no es con wnidows sino con los usuarios de windows. En su gran mayoría son cuasi analfabetos en lo referido a la informática.
Un windozo es el que cree que saber informática es saber descargar un programa y darle siguiente/siguiente/terminar. Y ser experto es saber cómo piratear el office y cómo abrir el regedit para modificar cosas.
Como bien dices, OpenShift es muy potente (disclaimer, trabajo para Red Hat) y te da no solo la orquestación sino una PaaS completa con muchas facilidades para desarrollar encima y olvidarte de la plataforma en sí.
Molaria probarlo en un cluster casero para hacer las pruebas y luego subirlo a plataforma y pagar por uso, creo que es una solucion realmente limpia.
Este enlace [2] te puede ser útil. También te recomiendo leer [3] para ver cómo interactúan los distintos estándares. Y tal vez [4] si tienes interés en ver cómo el formato original de Docker se convirtió en el estándar OCI.
[1] opencontainers.org
[2] www.docker.com/blog/demystifying-open-container-initiative-oci-specifi
[3] merlijn.sebrechts.be/blog/2020-01-docker-podman-kata-cri-o/
EDIT:
[4] www.padok.fr/en/blog/container-docker-oci
(se me olvidó pegar la referencia)
Que no por mucho que lo repitáis va a acabar siendo cierto. VSCode es caca, como todo el software de Microsoft
Hay un Openshift online que puedes consumir como servicio. Y también OpenShift gestionado en Azure, y posibilidad de montarlo en AWS, GCP o IBM Cloud. Por supuesto, también en tu propia infra física o virtualizada (OpenStack, VMware).
Me hace ser más eficiente y hacer mejor mi trabajo. Y encima software libre.
Como curiosidad cuál es tu alternativa mejor que VS code? Si dices Vim o Emac será la monda.
Algunos os ciega el odio.
Pero oye, si VSCode me quiere pagar la casa y las vacaciones entonces consideraría usarlo
IntellJ es bueno, pero es un IDE pesado y para mi VSCode con los plugins adecuados me es más ligero e igual de funcional.
Pero oye es una muy buena opción, de pago y privativa, pero una muy buena opción.
Eso no converte a VS Code en caca ya que para mi dentro de su territorio cada uno lo mejor que hay.
Y sí VSCode es mi herramienta principal de trabajo por tanto muy agradecido a ella.