重要安全预警：One API Docker镜像疑似遭遇投毒攻击

事件追踪时间线

最后更新时间: 2024-12-29 20:00 UTC+8

问题发现者: @luojiyin1987 finisitineris等，原始报告

项目维护者: @songquanpeng

事件概述

2024年12月27日,One API项目的Docker Hub镜像被发现存在安全问题。攻击者获取了项目维护者的Docker Hub凭证,并重新推送了包含挖矿程序的恶意镜像版本(v0.6.5至v0.6.9)。这些被污染的镜像会导致服务器CPU使用率异常升高,影响系统正常运行。

问题现象

1. 使用受影响版本的Docker镜像后,服务器CPU使用率会升至50%左右
2. 存在与矿池服务器(107.167.83.34:443)的异常网络连接
3. 矿池地址指向supportxmr.com和c3pool.org

官方响应措施

项目维护者 @songquanpeng在发现问题后立即采取了以下措施:

1. 撤销所有Docker Hub访问令牌
2. 重置账户密码并启用双因素认证
3. 暂时禁用GitHub Actions
4. 临时移除所有项目协作者权限
5. 计划重新推送清洁的镜像版本

安全建议

对于已部署One API的用户,建议采取以下措施:

1. 立即检查系统是否使用了受影响的版本(v0.6.5-v0.6.9之间的版本)
2. 如果使用了受影响版本:
   • 停止并删除相关容器
   • 删除可疑的Docker镜像
   • 重启服务器以确保清理完全
3. 使用Docker容器时建议:
   • 添加--cap-drop=ALL参数限制容器权限
   • 定期检查系统资源使用情况
   • 使用htop等工具监控可疑进程

技术分析

1. 攻击方式:

   • 攻击者通过获取的凭证重新推送了包含挖矿程序(xmrig)的Docker镜像
   • 受影响镜像会自动连接到指定矿池进行挖矿操作

2. 影响范围:

   • 仅影响2024年12月27日之后更新的v0.6.5-v0.6.9版本
   • 早期版本和其他来源(如ghcr.io)的镜像不受影响

3. 安全审计建议:

   • 使用Lynis等工具进行系统安全审计
   • 检查异常网络连接和进程

后续建议

1. 用户层面:

   • 使用官方确认安全的镜像版本
   • 定期更新到最新的安全版本
   • 实施容器安全最佳实践

2. 项目维护层面:

   • 加强CI/CD流程的安全性
   • 实施更严格的镜像签名验证机制
   • 建立安全漏洞响应机制

此事件提醒我们在使用Docker镜像时需要格外注意安全性,建议用户始终从可信源获取镜像,并保持警惕性。同时,也建议项目维护者加强安全措施,预防类似事件的发生。

参考链接

• One API GitHub Issue #2000
• Lynis Security Auditing Tool
• One API Docker Hub
• One API GitHub