第218-219天：-应急响应篇&近源攻击&Docker镜像&容器分析&Dockfile路径定位&基线扫描

docker镜像存在挖矿应急

top 查看内存
假如存在某个进程一直存在，除了计划任务，启动项等，还有就是在docker中运行
查看所有容器镜像

docker ps -a
docker history pmietlicki/xmrig | grep xmrig  查看历史镜像信息
docker exec -it 容器ID号 /bin/bash  进入镜像
docker pause <容器ID> 暂停镜像
docker rm -f <containerId> 删除镜像
docker rmi <IMAGE_NAME>  删除镜像
docker inspect --format='{{json .Config}}' pmietlicki/xmrig 查看镜像配置信息
dfimage -sV=1.36 pmietlicki/xmrig   使用dfimge 从镜像当中提取dockerfile

下面这条命令非常的重要是可以查询到本机的物理路径,一个一个查看

docker inspect --format='{{.GraphDriver.Data.LowerDir}}' pmietlicki/xmrig 查看镜像的运行路径

docker-compose build 重新构建，编译本地镜像
docker compose up -d 启动容器

docker存在webshell

使用镜像扫描工具也就是docker的基线核查 第二个项目比较好
https://github.com/anchore/grype
https://github.com/aquasecurity/trivy

后门处置-河马查杀
https://n.shellpub.com/
https://blog.51cto.com/u_16213400/7854720