运维同事说Drone中的tmate是木马

运维同事说Drone中的tmate是木马起因 后来运维同事提供出了更多信息,最终指向名叫tmate的这个程序。 官方说法 到底是不是木马我也不是很清楚,抱着找一找看看官方是怎样说的心态。 那它到底是不是木马呢?官方回答:不是 详情 官方回答

起因

运维同事:今天运维同事问drone-runner-docker这个容器是不是你在用,腾讯安装报毒drone里面有木马。

:这个容器实例是CI/CD工具持续交付的核心服务来,停掉影响很大。这样吧,你提供多点信息我找一下解决办法。

后来运维同事提供出了更多信息,最终指向名叫tmate的这个程序。

官方说法

到底是不是木马我也不是很清楚,抱着找一找看看官方是怎样说的心态。

那它到底是不是木马呢?官方回答:不是

下面是原文:Detected Linux/Hildegard.A!MTB in drone/drone-runner-docker:1 – Support – Drone

详情

官方回答是这样的:

这看起来像是一个误报,其中 tmate 3 被您的扫描仪标记。 Tmate 是一个远程会话工具,包含在 docker 镜像中。 它促进了我们的远程调试功能,您可以在此处阅读更多信息: discourse.drone.io/t/feature-p…

Tmate 是一个合法的工具,被 Travis 等其他 CI 提供者使用: docs.travis-ci.com/user/runnin…

如果您查看您提供的 Virus Total 仪表板,您会发现许多提供商都将其标记为潜在威胁而非病毒 (Not-a-virus:HEUR:RemoteAdmin.Linux.Tmate.a)。 这是有道理的,因为尽管 Tmate 是一个具有合法用途的合法工具,但攻击者将 Tmate 与木马恶意软件捆绑在一起以获取其反向 shell 功能 [1],因此它被标记为潜在威胁。

[1] Hildegard: New TeamTNT Cryptojacking Malware Targeting Kubernetes 1

tmate工具并不是木马,只是大多木马会包含这个工具来进行会话通讯。所以当清楚你使用的服务情况时,大多数下都是误报。

解决误报

但是每个人的情况并不一样。如果你和原文中提问的人一样,来自安全部门的诉求时,大多很难解释清楚。

在原文中也提供了解决办法:在drone-runner-docker镜像的基础下删除tmate二进制文件,并封装成新的镜像。虽然无法使用Drone的远程调试功能,却能避免误报的情况。

FROM drone/drone-runner-docker:1-linux-amd64 as drone

FROM scratch

ENV GODEBUG netdns=go
ENV DRONE_PLATFORM_OS linux
ENV DRONE_PLATFORM_ARCH amd64

COPY --from=drone /etc/ssl/certs/ca-certificates.crt /etc/ssl/certs/
COPY --from=drone /bin/drone-runner-docker /bin/

LABEL com.centurylinklabs.watchtower.stop-signal="SIGINT"

ENTRYPOINT ["/bin/drone-runner-docker"]

今天的文章运维同事说Drone中的tmate是木马分享到此就结束了,感谢您的阅读。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
如需转载请保留出处:https://bianchenghao.cn/17053.html

(0)
编程小号编程小号

相关推荐

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注