Woran erkennt man einen hack abgesehen von log files und traffic?
Gibt es bezüglich diesen Themas gute Lektüre oder so? Würde mich gern da etwas mehr einlesen.
Man sollte einfach alle paar tage die laufenden prozesse überprüfen und nach unbekannten und versteckten ordnern im WWW verzeichnis suchen. Verdächtige mengen an traffic können natürlich auch ein hinweis sein.
Ääähm nein - Docker ist so ziemlich alles, aber kein Sicherheitsfeature.
Bei Lücken in genutzten Kernelfunktionen ist es ganz egal ob mit oder ohne Docker...
Docker birgt im Gegenteil sogar die Gefahr, dass die darin laufende Software nicht vernünftig geupdated wird: aus einer Agentur weiß ich, dass Kunden gerne mal Docker-Container inkl. Webserver anfordern um die neue Webseite mit wenig Aufwand online gehen zu lassen. Als ob sich einer der eigenen Sysadmins einem Docker-Container einer Webagentur annimt...
Das nicht updaten von docker containern ist ein anfängerfehler und der kunde sollte entweder sich einen eigenen sysadmin holen oder einen web host benutzen.
Natürlich ist docker kein "sicherheitsfeature" aber wesentlich sicherer als den webserver direkt auf dem host zu installeren. Da viele firmen docker benutzen werden sicherheitslücken sehr schnell geschlossen. Wenn die malware nicht aus dem container ausgebrochen ist kann man sehr schnell den container löschen und einen neuen container (hoffentlich mit einem patch) aktivieren.