Перейти к содержимому


Фото
- - - - -

LinuxSpider не обнаруживает угрозы внутри томов Docker

LinuxSpider docker

  • Please log in to reply
4 ответов в этой теме

#1 Alexey S.

Alexey S.

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 26 Ноябрь 2021 - 19:47

Имею CentOS 7 с установленным drweb-workstations_11.0.6-1810051457+fstek~linux_amd64.run

 

Включен LinuxSpider. DrWeb корректно находит и убивает EICAR-Test-File, если я пытаюсь создать его из консоли. 

 

Также в системе установлен Docker. В нем работает PHP-приложение, к которому примонтирован том Docker для директории загруженных файлов этого PHP-приложения. Том отражается в файловую систему в /var/lib/docker/volumes/имятома/_data/

 

Задача: автоматически проверять загруженные файлы. По идее, LinuxSpider должен справляться с этим автоматически, как с тестовым файлом, но этого не происходит. После загрузки EICAR через PHP-приложение файл спокойно лежит в директории тома, это приложение его спокойно читает и дает скачать. Только если попытаться сделать из консоли cat этому файлу, он тут же исчезает.

 

Конфиг

Spoiler


#2 Alexey S.

Alexey S.

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 26 Ноябрь 2021 - 19:53

Загружаю файлы и смотрю

# find /var/lib/docker/volumes -name *.txt
/var/lib/docker/volumes/app_fpm_data/_data/Document/1/0ab4db2ed73c92af9c7795b1a284f1ef.txt
/var/lib/docker/volumes/app_fpm_data/_data/Document/1/c70a6dde01b7ed7c06d46b53628aa706.txt

Оба файла загружены через PHP-приложение и содержат EICAR-Test-File. Пытаюсь обратиться к файлу из консоли

# cat /var/lib/docker/volumes/app_fpm_data/_data/Document/1/0ab4db2ed73c92af9c7795b1a284f1ef.txt
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

# find /var/lib/docker/volumes -name *.txt
/var/lib/docker/volumes/app_fpm_data/_data/Document/1/c70a6dde01b7ed7c06d46b53628aa706.txt

Вот теперь файл исчез.


Сообщение было изменено asavartsov: 26 Ноябрь 2021 - 19:53


#3 amorozov

amorozov

    Member

  • Members
  • 163 Сообщений:

Отправлено 26 Ноябрь 2021 - 22:19

Сейчас это by design. LinuxSpider для мониторинга ФС использует Fanotify. Он сообщает только о событиях, инициированных в том mount namespace, в котором работает использующий его процесс. Процессы в docker-контейнере работают в отдельном mount namespace. Поэтому когда они пишут в файлы, LinuxSpider в другом mount namespace об этом не уведомляется. Так что вам нужно запускать отдельный АВ-комплекс в контейнере.

#4 Dmitry Mikhirev

Dmitry Mikhirev

    Advanced Member

  • Dr.Web Staff
  • 591 Сообщений:

Отправлено 26 Ноябрь 2021 - 23:01

Много где на это жалуются:
https://lkml.org/lkml/2015/10/29/268
https://lists.debian.org/debian-kernel/2017/09/msg00191.html
https://github.com/docker/for-linux/issues/309

Вряд ли тут можно что-то придумать, кроме как запускать spider в каждом контейнере и слать файлы на проверку через meshd на хост. Да, это совсем не docker way, и оверхед будет заметный, но что ж делать.
Впрочем, я не знаю, как поведёт себя в такой ситуации LKM, так что, в принципе, можно и с ним поэкспериментировать.

#5 Alexey S.

Alexey S.

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 30 Ноябрь 2021 - 16:17

Спасибо.





Also tagged with one or more of these keywords: LinuxSpider, docker

Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых