У меня есть VPS, на котором я запускаю экземпляр дьявол, докеризованный стек LAMP. Я только что обнаружил, что попал в Родство вредоносное ПО, скорее всего, из-за докеризованного сервера Redis, который я случайно оставил открытым без пароля (вставьте сюда смайлики facepalm). Как только я остановил контейнер, вредоносная программа исчезла из списка процессов.
Во всяком случае, я читал инструкции по его очистке на Страница Redis на Github, и я не вижу ничего из того, что он упоминает на моем главном компьютере: ничего в /tmp, ничего в /var/tmp, нет записей cron ... поэтому я понимаю, что все файлы вредоносной программы были созданы, если что-то, внутри контейнера.
Я удалил все образы Docker, которые у меня были, и снова загрузил их из Docker Hub. Должен ли я делать что-нибудь еще или должен быть в тени?
Изменить: я предполагаю, что я спрашиваю: поскольку взломанная служба находится внутри контейнера Docker, достаточно ли ее остановить и повторно загрузить «чистый» образ, или мне также нужно стереть хост-компьютер?
Если вы на 100% пострадали только ваши докер-контейнеры, я не вижу необходимости очищать хост-компьютер.
Однако я не уверен, используете ли вы сейчас что-то вроде брони приложений: https://docs.docker.com/engine/security/apparmor/ - если нет, об этом стоит подумать, поскольку вы сильно ограничите поверхность атаки.
Еще один вариант для изучения - это более PaaS-подобные (контейнерные) услуги хостинга, которые предлагают AWS, GCP и Azure - в этом случае вам больше не придется беспокоиться о главном компьютере.