Przetwarzaj z dziwną losową nazwą, która pochłania znaczne zasoby sieciowe i procesora. Czy ktoś mnie hackuje?

69

Na maszynie wirtualnej dostawcy usług w chmurze widzę proces o dziwnej losowej nazwie. Zużywa znaczne zasoby sieciowe i procesorowe.

Oto jak wygląda proces z pstreewidoku:

systemd(1)───eyshcjdmzg(37775)─┬─{eyshcjdmzg}(37782)
                               ├─{eyshcjdmzg}(37783)
                               └─{eyshcjdmzg}(37784)

Dołączyłem do procesu za pomocą strace -p PID. Oto wyniki, które mam: https://gist.github.com/gmile/eb34d262012afeea82af1c21713b1be9 .

Zabicie procesu nie działa. Jest jakoś (przez systemd?) Wskrzeszony. Oto jak to wygląda z systemowego punktu widzenia ( zwróć uwagę na dziwny adres IP na dole):

$ systemctl status 37775
● session-60.scope - Session 60 of user root
   Loaded: loaded
Transient: yes
  Drop-In: /run/systemd/system/session-60.scope.d
           └─50-After-systemd-logind\x2eservice.conf, 50-After-systemd-user-sessions\x2eservice.conf, 50-Description.conf, 50-SendSIGHUP.conf, 50-Slice.conf, 50-TasksMax.conf
   Active: active (abandoned) since Tue 2018-03-06 10:42:51 EET; 1 day 1h ago
    Tasks: 14
   Memory: 155.4M
      CPU: 18h 56min 4.266s
   CGroup: /user.slice/user-0.slice/session-60.scope
           ├─37775 cat resolv.conf
           ├─48798 cd /etc
           ├─48799 sh
           ├─48804 who
           ├─48806 ifconfig eth0
           ├─48807 netstat -an
           ├─48825 cd /etc
           ├─48828 id
           ├─48831 ps -ef
           ├─48833 grep "A"
           └─48834 whoami

Mar 06 10:42:51 k8s-master systemd[1]: Started Session 60 of user root.
Mar 06 10:43:27 k8s-master sshd[37594]: Received disconnect from 23.27.74.92 port 59964:11:
Mar 06 10:43:27 k8s-master sshd[37594]: Disconnected from 23.27.74.92 port 59964
Mar 06 10:43:27 k8s-master sshd[37594]: pam_unix(sshd:session): session closed for user root

Co się dzieje?!

centos systemd process gmile
źródło
48
Odpowiedź na „Czy ktoś mnie hackuje?” zawsze brzmi „Tak”, prawdziwe pytanie brzmi: „Czy ktoś zdołał mnie włamać?”.
ChuckCottrill
8
słowo to „cracking”, „penetrating” lub „
commeering
6
@ can-ned_food Powiedziano mi to około 15 lat temu. Zajęło mi trochę czasu, zanim zdałem sobie sprawę z tego, że to rozróżnienie to bzdura, a „hackowanie” absolutnie oznacza to samo. Nawet jeśli tak nie było w 1980 roku, język z pewnością zmienił się na tyle, że jest teraz.
jpmc26,
@ jpmc26 Z tego, co zrozumiałem, hackowanie jest szerszym terminem: haker to także każdy stary programista, który pracuje na cudzym niechlujnym kodzie.
can-ned_food 10.03.18
1
@ can-ned_food Można go używać w ten sposób, ale znacznie częściej używa się go do opisania nieautoryzowanego dostępu. Z kontekstu prawie zawsze wiadomo, co to znaczy.
jpmc26,

Odpowiedzi:

138

eyshcjdmzgto trojan Linux DDoS (łatwy do znalezienia w wyszukiwarce Google). Prawdopodobnie zostałeś zhakowany.

Odłącz ten serwer od trybu offline. To już nie jest twoje.

Przeczytaj uważnie następujące pytanie o awarię serwera Błąd: Jak postępować z zagrożonym serwerem .

Pamiętaj, że w zależności od tego, kim jesteś i gdzie jesteś, możesz być dodatkowo prawnie zobowiązany do zgłoszenia tego incydentu władzom. Dzieje się tak na przykład w przypadku pracy w agencji rządowej w Szwecji (np. Na uniwersytecie).

Związane z:

Kusalananda
źródło
2
Jeśli obsługujesz także holenderskich klientów i przechowujesz dane osobowe (adresy IP, e-maile, nazwiska, lista zakupów, informacje o karcie kredytowej, hasła), musisz zgłosić je na adres datalekken.autoriteitpersoonsgegevens.nl/actionpage?0
Tschallacka
@tschallacka na pewno sam adres IP nie jest uważany za PII? Prawie każdy serwer sieciowy gdziekolwiek przechowuje adresy IP w swoich dziennikach dostępu
Darren H
@DarrenH Zakładam, że obejmowałoby to „dane, które można wykorzystać do zidentyfikowania osoby” itp. Dzienniki zwykle nie są postrzegane jako dane tego typu AFAIK, ale może być inaczej, jeśli adres IP jest jawnie przechowywany w bazie danych jako część zapisu konta.
Kusalananda
To ma sens. Dzięki za wyjaśnienie
Darren H
W Holandii jesteśmy zobowiązani do maskowania wszystkich oktetów przed wysłaniem do Google, ponieważ cały zakres należy do danych osobowych, ponieważ można je porównać z innymi rekordami. Haker może sprawdzić inne dzienniki w celu śledzenia twoich działań. Więc tak, jego pełne dane osobowe jak prawdziwy adres
Tschallacka
25

Tak. Wyszukiwarka eyshcjdmzg w Google wskazuje, że włamano się na serwer.

Zobacz Jak poradzić sobie z zagrożonym serwerem? co z tym zrobić (w skrócie, wyczyść system i zainstaluj ponownie od zera - nie możesz na nim niczego ufać. Mam nadzieję, że masz kopie zapasowe ważnych danych i plików konfiguracyjnych)

cas
źródło
20
Można by pomyśleć, że z trudem losują nazwę w każdym zainfekowanym systemie, ale najwyraźniej nie.
immibis
2
@immibis Może to być skrót, mający znaczenie tylko dla autorów. DMZbit jest prawdziwy skrót. shmoże oznaczać „powłokę” i eymoże być „okiem” bez „e”, ale ja tylko spekuluję.
Kusalananda
14
@Kusalananda powiedziałbym, że trojan „Eye without e Shell CJ Demilitaryized zone g”, nie jest to zła nazwa.
The-Vinh VO
11
@ The-VinhVO Naprawdę stacza się z języka
Dason