文章总结： 本文详述K8s集群入侵排查技巧。针对Pod与Node节点，推荐使用kubectldebug工具进行无侵入式调试与日志分析；针对集群层面，需审计APIServer日志，重点关注未授权访问、特权Pod创建及敏感挂载等特征。文章提供了具体命令与检测指标，有助于快速定位攻击路径并恢复业务。 综合评分： 88 文章分类： 云安全,应急响应,安全运营

K8s集群入侵排查技巧

不秃头的安全

2025年11月16日 12:22 河北

以下文章来源于Bypass ，作者Bypass

Bypass .

专注于安全攻防领域，致力于提供有价值的内容！

K8s集群入侵排查技巧

前言：本文中涉及到的相关技术或工具仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担，如有侵权请私聊删除。
知识星球和交流群在最下方。
需要cn*d（中高）/c2n*d（高与支撑单位）/安全证书请联系vx咨询

随着 k8s的应用越来越广泛， 它已经成为IT 基础设施的重要组成部分，同时也成为攻击者的重点目标 。一旦集群遭受入侵，我们需要第一时间做出应急响应，以最短时间内恢复业务正常运行。

本文我们将来解析一些 K8s 集群入侵排查技巧， 帮助大家快速找到攻击者的入侵痕迹，还原攻击路径，更高效地进行问题排查。

01、 K8s安全事件概述

在K8s应急场景中，我们可以根据K8s的不同层级，将安全事件分为三类，针对不同的阶段选择不同的应对方式。

02、 Pod容器入侵排查

当Pod遭受入侵时，我们需要进入Pod里面进行入侵排查。

（1）进入容器

最直接的方法就是进入有问题的 Pod 内执行命令，通常可以使用 kubectl exec 命令在指定的 Pod 容器中操作。

kubectl exec -it nginx-5c47845dd7-k6dp9 -- bash

这种方法虽然简单易用，但受限于运行中的应用 Pod 环境，往往缺少排查问题所需的命令或工具，无法满足深入分析的需求，导致效率低下。

（2）Pod调试

K8s 提供了kubectl debug命令，通过临时容器共享命名空间的方式分析业务容器，而且可以从临时容器访问业务容器的文件系统，根文件系统位于/proc/1/root目录下。

kubectl debug -it nginx-5c47845dd7-k6dp9 --image=busybox:latest --target=nginx

这种方式可以更加通用，可以满足深入分析和排查问题的需求，灵活高效，不会影响业务容器应用。

（3）Pod日志

虽然可以使用 kubectl exec 命令进入Pod内部查看日志，K8s使用 kubectl logs 命令查看Pod日志。

kubectl logs web-86cd4d65b9-pwwlm

03、 Node节点入侵排查

当Node节点遭受入侵时，我们需要安全排查节点服务器的安全状态，以确认入侵的影响。

(1) 节点调试

kubectl debug node是Kubernetes提供的强大节点调试工具，它让集群管理员能够在无需直接SSH访问的情况下深入检查节点状态，特别适用于无法通过SSH直接访问节点的场景。

当需要调试某个节点时，可以使用kubectl debug node 命令，这个命令会在目标节点上创建一个临时容器，访问节点服务器，并提供一个交互式的 Shell 环境。临时容器运行在主机的命名空间中，节点根文件系统挂载在 /host上。

kubectl debug -it node/node  --image=busybox:latest

(2)节点相关日志

容器标准输出:&nbsp;/var/lib/docker/containers/<Container-ID>/-json.log容器日志:&nbsp;/var/log/containers/*.logkubelet日志： &nbsp;journalctl &nbsp;-u kubelet

04、 K8s集群入侵排查

K8s Audit 记录了集群中所有API Server的请求，当K8s集群遭受入侵时，K8s Audit 拥有独特的视角，可以帮助我们看清集群层面的攻击行为，重点关注 sourceIPS、user、userAgent、verb等字段，发现K8s集群层面的攻击行为，定位问题的根源。

（1）API Server未授权访问

攻击特征：未认证用户尝试使用集群管理员权限执行操作。

user: {"username":"system:unsecured", "groups":["system:masters","system:authenticated"]}

（2）使用泄露的服务账户 token

攻击特征：user.username 可能包含服务账号，userAgent字段包含curl。

"user.username"="system:serviceaccount:test:bypass" userAgent="curl/7.68.0"

（3）使用泄露的 kubeconfig 文件

攻击特征：sourceIPs不在信任范围，userAgent包含kubectl信息。

"sourceIPs{}"="192.168.44.133" userAgent="kubectl/v1.28.2 (linux/amd64) kubernetes/89a4ea3"

（4）创建特权Pod

攻击特征：攻击者成功创建特权Pod。

verb=create "responseStatus.code"=201 "requestObject.spec.containers{}.securityContext.privileged"=true

（5）挂载hostPath

攻击特征：攻击者将宿主机的根目录 / 以 hostPath 的方式挂载到容器。

verb=create  "responseStatus.code"=201 "responseObject.spec.volumes{}.hostPath.path"="/"

（6）创建CronJob

攻击特征：攻击者成功创建 CronJob。

verb=create "responseStatus.code"=201 "objectRef.resource"=cronjobs

📄往期推荐：

【Web攻防】针对供应链安全的攻击路径与防御体系

WatchVuln-web 一个用于监控和展示漏洞信息的全栈 Web 应用

JS敏感信息扫描工具—Chrome插件Parsing(2025-10-27)更新

关于我们:

感谢各位大佬们关注-不秃头的安全，后续会坚持更新渗透漏洞思路分享、安全测试、好用工具分享以及挖掘SRC思路等文章，同时会组织不定期抽奖，希望能得到各位的关注与支持，考证请加联系vx咨询。

1. 需要考以下各类安全证书的可以联系(目前报证书可送安全书籍)

①Cn*d🀄️危均已归档等待下证，🉑修改贡献者及单位直接下，中高等级也可以提交到个人账户上

②C2NVD中高 二三级支撑单位均可协助获得

③CISP、PTE/PTS、CISP-DSG、IRE/IRS、NISP一二级、PMP、CCSK、CISSP/CCSP、CISAW各种类、CCRC\CCSC、itil、软考中高级、CDSP各种类、CISA，oscp等等巨优惠。ISO27001、ITss服务项目经理报名等下证即可，证书组团报更便宜，可对公，可开专普票。想加群下方链接，群过期或群满加下方vx拉：

2. 需要入星球的可以私聊优惠

星球里有什么？

1、维护更新src、cnxd、cnnxd专项漏洞知识库，包含原理、挖掘技巧、实战案例
2、fafo/零零信安/QUAKE 高级会员key
3、最新POC通用报告详情分享思路
4、知识星球专属微信“内部圈子交流群”
5、攻防演练资源分享（免杀、溯源、钓鱼等）
6、最新新鲜工具分享
7、不定期有工作招聘内推（工作/护网内推）
8、19个专栏会持续更新~提前续费有优惠，好用不贵很实惠

3、其他合作（合法合规）

1、承接各种安全项目（须有授权），需要攻防团队或岗位招聘都可代发、代招（灰黑勿扰）；

2、各位安全老板需要文章推广的请私聊，承接合法合规推广文章发布，可直发、可按产品编辑推广；合作、推广代发、安全项目、岗位代招均可发布；

3、接受脱敏投稿,送一年知识星球及礼包。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：不秃头的安全 《K8s集群入侵排查技巧》