【网络法医】Docker取证
1.docker变更记录取证
如果怀疑docker容器被破坏。例如如下wordpress容器:
bash
docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
cc03e43a052a lamp-wordpress "./run.sh" 2 minutes ago Up 2 minutes 80/tcp wordpress可以通过docker diff wordpress命令来查看容器的变更记录(记录的开头部分,C 代表 Changed,而 A 代表 Added):
bash
docker diff wordpress
C /var
C /var/lib
C /var/lib/mysql
A /var/lib/mysql/ib_logfile0
A /var/lib/mysql/ib_logfile1
A /var/lib/mysql/ibdata1
A /var/lib/mysql/mysql
A /var/lib/mysql/mysql/time_zone_leap_second.MYI
A /var/lib/mysql/mysql/general_log.CSV如果你发现某个文件,比如 /etc/shadow 被修改了,可以使用以下命令从容器中下载它,检查恶意活动:
bash
docker cp wordpress:/etc/shadow.也可以访问容器并检查:
bash
docker exec -it wordpress bash2.docker镜像取证
当我们只有一个导出的 docker 映像(可能是 .tar 格式)时,可以使用 container-diff 来提取修改记录:
bash
container-diff analyze -t sizelayer image.tar
container-diff analyze -t history image.tar
container-diff analyze -t metadata image.tar然后,可以解压缩映像并访问 blobs 以搜索可能在更改历史中发现的可疑文件:
bash
tar -xf image.tar3.工具取证
为了在docker镜像中查找添加/修改的文件,可以使用 dive 开源工具:
使用命令:
bash
sudo dive flask:latest此工具能够浏览不同的 Docker 镜像块并检查哪些文件被修改/添加。红色表示添加,黄色表示修改。使用tab键切换到其他视图,使用space键折叠/打开文件夹
