Meow - Наташ, мы всё уронили

Мяу-атака удалила уже 4300 баз данных
Тысячи незащищённых баз данных, выставленных на всеобщее обозрение в интернете, стали мишенью автоматизированной атаки Meow («мяу»), которая уничтожает данные...

Тысячи незащищённых баз данных, выставленных на всеобщее обозрение в интернете, стали мишенью автоматизированной атаки Meow («мяу»), которая уничтожает данные без каких-либо объяснений, пишет Bleeping Computer.

Впервые атака была замечена на прошлой неделе, когда начали исчезать БД в инстансах Elasticsearch и MongoDB без каких-либо записок с пояснениями или требований выкупа. Затем атаки распространились на другие типы БД и на файловые системы, открытые для общего доступа в интернет.

Подробнее можно прочитать в статье.


Ниже одно из "быстрых" решений

С ростом популярности докера не все успевают разобраться в админ правах и доступах
При создании, стопе и перезагрузки контейнеров iptables от докера переписывается и затирается.
По умолчанию там полный доступ к портам докера.
Без погружений скрипт кладется в contab (crontab -e) и выполняется каждую минуту (* * * * *)
Просто проверяет наличие правил, «дырку» удаляет, нужные (доступ оп ip) прописывает.

Это не для профи, а для тех, кто не разобрался с докером и доступами.

#!/usr/bin/bash
ips=("1.2.3.4" "5.6.7.8" "9.10.11.12")

# проверить правило-дырку
/usr/sbin/iptables -C DOCKER-USER -j RETURN 2>> /dev/null
if [[ $? -eq 0 ]]
then /usr/sbin/iptables -D DOCKER-USER -j RETURN
fi

# разрешаем контейнерам пользоваться интернетом
# если нужно запретить контейнерам выходить в интернет, то эта проверка не нужна
/usr/sbin/iptables -C DOCKER-USER -i eth0 -m conntrack --ctstate RELATED,ESTABLISHED -j RETURN
if [[ $? -eq 1 ]]
then /usr/sbin/iptables -I DOCKER-USER 1 -i eth0 -m conntrack --ctstate RELATED,ESTABLISHED -j RETURN
fi

# проверить запрет на доступ
/usr/sbin/iptables -C DOCKER-USER -i eth0 -j DROP 2>> /dev/null
if [[ $? -eq 1 ]]
then /usr/sbin/iptables -A DOCKER-USER -i eth0 -j DROP
fi

# проверить разрешение на доступ по ip
for ip in ${ips[@]}; do
 /usr/sbin/iptables -C DOCKER-USER -s $ip/32 -i eth0 -j RETURN 2>> /dev/null
 if [[ $? -eq 1 ]]
 then /usr/sbin/iptables -I DOCKER-USER 1 -s $ip -i eth0 -j RETURN
 fi
done
exit 0

(скрипт для centos, для ubuntu просто удалить /usr)

ips - список разрешенных ip адресов

Этот bash скрипт проверяет наличие правил в цепочке DOCKER-USER в iptables, удаляет "полный доступ", ограничивает доступ ip адресами из списка.

Показать комментарии