設計バージョン1.10.0、1.10.1
異常イベントの詳細
アラートの原因:このWebサービスが異常なサブプロセスを作成した
コマンドライン:/bin/sh -c echo caonima
プロセスパス:/bin/busybox
プロセスID:2490645
親プロセスのコマンドライン:next-server (v15.5.6)
親プロセスのファイルパス:/usr/local/bin/node
親プロセスID:2143985
プロセスチェーン:
- [2143472] /usr/bin/containerd-shim-runc-v2 -namespace moby -id cd1c1d264970b347204c6a7ed49116dcba163949d9572f6c4042d8415c01b73f -address /run/containerd/containerd.sock
- [2143557] /bin/sh ./entrypoint.sh
- [2143725] node /pnpm/global/5/.pnpm/pm2@6.0.14/node_modules/pm2/bin/pm2 start /app/web/server.js --name dify-web --cwd /app/web -i 2 --no-daemon
- [2143985] next-server (v15.5.6)
コンテナ名:docker-web-1
コンテナID:cd1c1d264970b347204c6a7ed49116dcba163949d9572f6c4042d8415c01b73f
イメージID:langgenius/dify-web@sha256:832b9cc053b7f24082fb5da45a766d6e3ad20805215755ef7b4616906c7d54f4
イメージ名:langgenius/dify-web:1.10.1
コンテナのhostname:cd1c1d264970
コンテナ視点でのプロセスパス:/proc/2143557/root/bin/busybox
ヒント:Webアプリケーションが疑わしいサブプロセスを作成したことが検出された
説明:Webアプリケーションが疑わしいサブプロセスを作成したことが検出された。これは攻撃者がWebアプリケーションの脆弱性を利用して実行したコマンドによるものである可能性がある。また、プログラム自体がこのような動作を行うための誤報である可能性もある。実際の状況に応じて、アラートの真偽をさらに判断することを推奨する。