Na maszynie wirtualnej dostawcy usług w chmurze widzę proces o dziwnej losowej nazwie. Zużywa znaczne zasoby sieciowe i procesorowe.
Oto jak wygląda proces z pstree
widoku:
systemd(1)───eyshcjdmzg(37775)─┬─{eyshcjdmzg}(37782)
├─{eyshcjdmzg}(37783)
└─{eyshcjdmzg}(37784)
Dołączyłem do procesu za pomocą strace -p PID
. Oto wyniki, które mam: https://gist.github.com/gmile/eb34d262012afeea82af1c21713b1be9 .
Zabicie procesu nie działa. Jest jakoś (przez systemd?) Wskrzeszony. Oto jak to wygląda z systemowego punktu widzenia ( zwróć uwagę na dziwny adres IP na dole):
$ systemctl status 37775
● session-60.scope - Session 60 of user root
Loaded: loaded
Transient: yes
Drop-In: /run/systemd/system/session-60.scope.d
└─50-After-systemd-logind\x2eservice.conf, 50-After-systemd-user-sessions\x2eservice.conf, 50-Description.conf, 50-SendSIGHUP.conf, 50-Slice.conf, 50-TasksMax.conf
Active: active (abandoned) since Tue 2018-03-06 10:42:51 EET; 1 day 1h ago
Tasks: 14
Memory: 155.4M
CPU: 18h 56min 4.266s
CGroup: /user.slice/user-0.slice/session-60.scope
├─37775 cat resolv.conf
├─48798 cd /etc
├─48799 sh
├─48804 who
├─48806 ifconfig eth0
├─48807 netstat -an
├─48825 cd /etc
├─48828 id
├─48831 ps -ef
├─48833 grep "A"
└─48834 whoami
Mar 06 10:42:51 k8s-master systemd[1]: Started Session 60 of user root.
Mar 06 10:43:27 k8s-master sshd[37594]: Received disconnect from 23.27.74.92 port 59964:11:
Mar 06 10:43:27 k8s-master sshd[37594]: Disconnected from 23.27.74.92 port 59964
Mar 06 10:43:27 k8s-master sshd[37594]: pam_unix(sshd:session): session closed for user root
Co się dzieje?!
Odpowiedzi:
eyshcjdmzg
to trojan Linux DDoS (łatwy do znalezienia w wyszukiwarce Google). Prawdopodobnie zostałeś zhakowany.Odłącz ten serwer od trybu offline. To już nie jest twoje.
Przeczytaj uważnie następujące pytanie o awarię serwera Błąd: Jak postępować z zagrożonym serwerem .
Pamiętaj, że w zależności od tego, kim jesteś i gdzie jesteś, możesz być dodatkowo prawnie zobowiązany do zgłoszenia tego incydentu władzom. Dzieje się tak na przykład w przypadku pracy w agencji rządowej w Szwecji (np. Na uniwersytecie).
Związane z:
źródło
Tak. Wyszukiwarka eyshcjdmzg w Google wskazuje, że włamano się na serwer.
Zobacz Jak poradzić sobie z zagrożonym serwerem? co z tym zrobić (w skrócie, wyczyść system i zainstaluj ponownie od zera - nie możesz na nim niczego ufać. Mam nadzieję, że masz kopie zapasowe ważnych danych i plików konfiguracyjnych)
źródło
DMZ
bit jest prawdziwy skrót.sh
może oznaczać „powłokę” iey
może być „okiem” bez „e”, ale ja tylko spekuluję.