Názory k článku Docker Hub po roce odstranil image těžící Monero, měly pět milonů stažení

Ja som to chcel davno urobit v nasom nevytazenom on-premise enterprise prostredi. Maly, zlaty, nenarocny kontajnerik s nizkou cpu prioritou, takze by ho na urovni planovaca prebil akykolvek standardny user proces. Nastastie firemny profit je mi prednejsi pred osobnym :-D.

No za tohle by ti mohli dat vyhazov na miste a to za to asi nestoji :)

Mel jsem za to ze u monera se neda zjistit stav minci na penezence, tak jak muzou vedet kolik jich tam je?

https://static-cdn.kromtech.net/kt-blog-upload/cryptojacking_image10.png

Jo tohle dava smysl... Dik.

Nápad to byl dobrý - kreativitě se meze nekladou.

Myslím že je na zodpovědnosti každého si zkontrolovat docker image než jej někam nasadí - když je veřený. Pokud je interní tam to neočekávám, ale security-audit není nikdy na škodu.

Co se týče přístupo samotného Dockeru, tam má poměrně rezervy a mohl by se o to zajímat víc aktivně než že to smažou až po 3/4 roce a 17 images... ale Docker Hub je i zdarma, takže zas nejde očekávat top kvalitu - to samé platí pro repa na Githubu...

1) Je to co udělal legální?
2) Jde na firewallu nějak odstřelit monero a podobné zrůdnosti, nebo si tihle zmetci dávají záležet a skrývají komunikaci?

kdyby tam aspon dali BOINC namísto monrea

Stejne nerozumim jak tohle nekdo muze dat do firmy. IMHO bezpecnostni riziko.

Ne docker. Docker je fajn. Ale jak nekdo muze stahnout image z dockerhub nebo odkudkoliv z internetu a pustit ho nekde ve firme.

Ale,
na dockerhub jsou i dockry primo od tvurcu danych programu, navi ti maji vetsinou dockerfile na githubu a je mozne to zkontrolovat, build je delany verejne.

Hledani problemu kde neni. Typicke pro pobirace eurodotaci a podobne.

Dovolim si tvrdit, ze veta v perexu:

"Stáhlo si je pět milionů uživatelů a jejich tvůrce vydělal dva miliony korun".

Neni uplne spravne. V odkazovanem rozboru se primo uvadi:

"There are high odds that the 90k USD were earned by poisoning cloud environments with crypto mining containers."

Z napadenych serveru se vytvorila serie C&C ktera dale vyhledavala otevrene kontejnerove systemy a distribuovala obrazy s backdoor/miner.

Tezit kryptomeny skripty na strankach je prasarna, ale tohle mi prijde vcelku ok. Od uzivatelu dockeru imho lze ocekavat elementarni bezpecnostni prehled , a kdyz ho nemaj tak dobre jim tak. A tohle bylo jeste celkem levne pouceni, mohli si stahnout i neco "veselejsiho" ...

123321 vzbuzuje hodne duvery uz na prvni pohled :D