Bonjour
L'outils trivy (https://github.com/aquasecurity/trivy) permet de détecter les vulnérabilités connues inclues dans les containers.
David
Dr David ANSART Formateur en Informatique : Réseau Système Cybersécurité Développement C/C++ https://github.com/Raizo62
david.ansart@seineetmarne.cci.fr +33 1 60 37 41 11 CFA UTEC INThttps://www.utec77.fr/ (https://www.utec77.frhttps://www.utec77.fr/) 6 Boulevard Olof Palme CS 60150 Émerainville 77436 Marne-la-Vallée CEDEX 2
[https://ci3.googleusercontent.com/proxy/femEefITJ0c36VknQvisYFKWAiJicpdYWDkX...]https://www.utec77.fr/
[https://ci3.googleusercontent.com/proxy/PrAv608xsWQ17Jtudf-ZkhHZmZ8lh6TXBNnF...]https://www.linkedin.com/company/utec77-cfa-utec [https://ci3.googleusercontent.com/proxy/AIzrqWTFNKF5v5i9fDWhKKJKcXWDJ9Z5hXyo...] https://fr-fr.facebook.com/utec77.formations/ [https://ci6.googleusercontent.com/proxy/8Jn-_XkFHlT_Fo67dJ-_mnkYfmfpCvb5RZXx...] https://twitter.com/utec_77 [https://ci6.googleusercontent.com/proxy/UzISzyJKz18dGYAuUjE0fYjVrb4OXaZRqcDM...] https://www.instagram.com/utec77/?hl=fr
________________________________ De : David Ponzone david.ponzone@gmail.com Envoyé : mardi 1 octobre 2024 14:39 À : Xavier Beaudouin kiwi@oav.net Cc : frsag frsag@frsag.org Objet : [FRsAG] Re: Container hacké, que faire
Xav,
Je crois que Franck ne sait pas quel container est fautif…
J’ai envie de dire d’éteindre tous les containers, les allumer un par un, et prendre une trace réseau à chaque fois à la sortie de chaque container pour tenter de détecter du traffic anormal. Je suppose qu’ils sont en privée et que l’hôte les NAT ?
Dav
Le 1 oct. 2024 à 13:27, Xavier Beaudouin via FRsAG <frsag@frsag.orgmailto:frsag@frsag.org> a écrit :
Simple : - Détruire le container - Installer un container propre.
________________________________ De: "Franck Routier (perso) via FRsAG" <frsag@frsag.orgmailto:frsag@frsag.org> À: "frsag" <frsag@frsag.orgmailto:frsag@frsag.org> Envoyé: Mardi 1 Octobre 2024 13:16:03 Objet: [FRsAG] Container hacké, que faire Bonjour,
J'ai un serveur "bare metal" chez OVH, avec une Ubuntu, inclus (ex LXD) et une série de containers. Ce matin mes services étaient hors ligne : le serveur était passé en mode "hack" par OVH. J'ai redémarré le serveur et stoppé tous les containers. D'après vous, comment procéder pour isoler et nettoyer le container fautif ?
Merci
_______________________________________________ Liste de diffusion du %(real_name)s http://www.frsag.org/ _______________________________________________ Liste de diffusion du %(real_name)s http://www.frsag.org/
Ce message et toutes les pièces jointes sont confidentiels et/ou couverts par le secret professionnel et transmis à l'intention exclusive de ses destinataires. Toute modification, édition, utilisation ou diffusion non autorisée est interdite. Si vous avez reçu ce message par erreur, merci d'en informer son émetteur ou le signaler à cpdp@cci-paris-idf.fr. La CCI Paris-IdF décline toute responsabilité au titre de ce message s'il a été altéré, déformé, falsifié ou encore édité ou diffusé sans autorisation. Si l'objet de ce message est indiqué comme "privé", son contenu est sous la seule responsabilité de son auteur.