One API Docker镜像疑似遭遇投毒攻击

事件追踪时间线

• 最后更新时间: 2024-12-29 20:00 UTC+8

• 问题发现者: @luojiyin1987
 finisitineris
  等，原始报告^[1]

• 项目维护者: @songquanpeng
  

事件概述

2024年12月27日,One API项目的Docker Hub镜像被发现存在安全问题。攻击者获取了项目维护者的Docker Hub凭证,并重新推送了包含挖矿程序的恶意镜像版本(v0.6.5至v0.6.9)。这些被污染的镜像会导致服务器CPU使用率异常升高,影响系统正常运行。

问题现象

1. 使用受影响版本的Docker镜像后,服务器CPU使用率会升至50%左右
2. 存在与矿池服务器(107.167.83.34:443)的异常网络连接
3. 矿池地址指向supportxmr.com和c3pool.org

官方响应措施

项目维护者 @songquanpeng
在发现问题后立即采取了以下措施:

1. 撤销所有Docker Hub访问令牌
2. 重置账户密码并启用双因素认证
3. 暂时禁用GitHub Actions
4. 临时移除所有项目协作者权限
5. 计划重新推送清洁的镜像版本

安全建议

对于已部署One API的用户,建议采取以下措施:

1. 立即检查系统是否使用了受影响的版本(v0.6.5-v0.6.9之间的版本)
2. 如果使用了受影响版本:
• 停止并删除相关容器
• 删除可疑的Docker镜像
• 重启服务器以确保清理完全
3. 使用Docker容器时建议:
• 添加--cap-drop=ALL
  参数限制容器权限
• 定期检查系统资源使用情况
• 使用htop
  等工具监控可疑进程

技术分析

1. 攻击方式:

• 攻击者通过获取的凭证重新推送了包含挖矿程序(xmrig)的Docker镜像
• 受影响镜像会自动连接到指定矿池进行挖矿操作

2. 影响范围:

• 仅影响2024年12月27日之后更新的v0.6.5-v0.6.9版本
• 早期版本和其他来源(如ghcr.io)的镜像不受影响

3. 安全审计建议:

• 使用Lynis等工具进行系统安全审计
• 检查异常网络连接和进程

后续建议

1. 用户层面:

• 使用官方确认安全的镜像版本
• 定期更新到最新的安全版本
• 实施容器安全最佳实践

参考链接

• One API GitHub Issue #2000^[2]
• Lynis Security Auditing Tool^[3]
• One API Docker Hub^[4]
• One API GitHub^[5]