重要安全预警:One API Docker镜像疑似遭遇投毒攻击
4 min read

事件追踪时间线
最后更新时间: 2024-12-29 20:00 UTC+8
问题发现者:
@luojiyin1987
finisitineris
等,原始报告
项目维护者:
@songquanpeng
事件概述
2024年12月27日,One API项目的Docker Hub镜像被发现存在安全问题。攻击者获取了项目维护者的Docker Hub凭证,并重新推送了包含挖矿程序的恶意镜像版本(v0.6.5至v0.6.9)。这些被污染的镜像会导致服务器CPU使用率异常升高,影响系统正常运行。

问题现象
- 使用受影响版本的Docker镜像后,服务器CPU使用率会升至50%左右
- 存在与矿池服务器(107.167.83.34:443)的异常网络连接
- 矿池地址指向supportxmr.com和c3pool.org
官方响应措施
项目维护者 @songquanpeng
在发现问题后立即采取了以下措施:
- 撤销所有Docker Hub访问令牌
- 重置账户密码并启用双因素认证
- 暂时禁用GitHub Actions
- 临时移除所有项目协作者权限
- 计划重新推送清洁的镜像版本
安全建议
对于已部署One API的用户,建议采取以下措施:
- 立即检查系统是否使用了受影响的版本(v0.6.5-v0.6.9之间的版本)
- 如果使用了受影响版本:
- 停止并删除相关容器
- 删除可疑的Docker镜像
- 重启服务器以确保清理完全
- 使用Docker容器时建议:
- 添加
--cap-drop=ALL
参数限制容器权限 - 定期检查系统资源使用情况
- 使用
htop
等工具监控可疑进程
- 添加
技术分析
-
攻击方式:
- 攻击者通过获取的凭证重新推送了包含挖矿程序(xmrig)的Docker镜像
- 受影响镜像会自动连接到指定矿池进行挖矿操作
-
影响范围:
- 仅影响2024年12月27日之后更新的v0.6.5-v0.6.9版本
- 早期版本和其他来源(如ghcr.io)的镜像不受影响
-
安全审计建议:
- 使用Lynis等工具进行系统安全审计
- 检查异常网络连接和进程
后续建议
-
用户层面:
- 使用官方确认安全的镜像版本
- 定期更新到最新的安全版本
- 实施容器安全最佳实践
-
项目维护层面:
- 加强CI/CD流程的安全性
- 实施更严格的镜像签名验证机制
- 建立安全漏洞响应机制
此事件提醒我们在使用Docker镜像时需要格外注意安全性,建议用户始终从可信源获取镜像,并保持警惕性。同时,也建议项目维护者加强安全措施,预防类似事件的发生。
参考链接
更多文章

Qwen2.5-Omni 全能旗舰 VS 国产小钢炮 MiniCPM-V:参数、硬件、资源、优势全解析,谁才是真香之选?

DeepSeek-V3-0324 更新:全面提升的推理与创作能力

AI巨头正面交锋:Grok 3图片编辑功能横空出世,谷歌Gemini措手不及?

Mistral Small 3.1:轻量级大模型的王者归来,能否撼动Gemma 3的霸主地位?

SmolDocling:256M参数的全能文档OCR处理利神器,每页仅需0.35秒,GTX1060即可运行

Manus vs OpenManus:一天9个微信群爆满,AI Agent掀起商业与开源双重博弈

阿里QwQ-32B,32B小参数媲美DeepSeek R1 671B,重塑开源AI新格局?

重大安全警报:VS Code 最流行主题插件 Material Theme 被曝含恶意代码

微软 OmniParser V2.0 重磅发布:AI 视觉解析迎来重大升级,自动化与可访问性迈向新高度