Önemli ağ ve CPU kaynaklarını tüketen garip rastgele isimlerle işlem yapın. Birisi beni kesiyor mu?

69

Bulut sağlayıcısındaki bir VM'de, garip rasgele isimle bir işlem görüyorum. Önemli ağ ve CPU kaynaklarını tüketir.

İşlem, pstreegörünümden şöyle görünüyor :

systemd(1)───eyshcjdmzg(37775)─┬─{eyshcjdmzg}(37782)
                               ├─{eyshcjdmzg}(37783)
                               └─{eyshcjdmzg}(37784)

Kullanarak işleme ekledim strace -p PID. İşte elde ettiğim çıktı: https://gist.github.com/gmile/eb34d262012afeea82af1c21713b1be9 .

Süreci öldürmek işe yaramıyor. Bir şekilde (systemd? İle) dirildi. Sistemin bakış açısından nasıl göründüğü ( aşağıdaki tuhaf IP adresini not alın ):

$ systemctl status 37775
● session-60.scope - Session 60 of user root
   Loaded: loaded
Transient: yes
  Drop-In: /run/systemd/system/session-60.scope.d
           └─50-After-systemd-logind\x2eservice.conf, 50-After-systemd-user-sessions\x2eservice.conf, 50-Description.conf, 50-SendSIGHUP.conf, 50-Slice.conf, 50-TasksMax.conf
   Active: active (abandoned) since Tue 2018-03-06 10:42:51 EET; 1 day 1h ago
    Tasks: 14
   Memory: 155.4M
      CPU: 18h 56min 4.266s
   CGroup: /user.slice/user-0.slice/session-60.scope
           ├─37775 cat resolv.conf
           ├─48798 cd /etc
           ├─48799 sh
           ├─48804 who
           ├─48806 ifconfig eth0
           ├─48807 netstat -an
           ├─48825 cd /etc
           ├─48828 id
           ├─48831 ps -ef
           ├─48833 grep "A"
           └─48834 whoami

Mar 06 10:42:51 k8s-master systemd[1]: Started Session 60 of user root.
Mar 06 10:43:27 k8s-master sshd[37594]: Received disconnect from 23.27.74.92 port 59964:11:
Mar 06 10:43:27 k8s-master sshd[37594]: Disconnected from 23.27.74.92 port 59964
Mar 06 10:43:27 k8s-master sshd[37594]: pam_unix(sshd:session): session closed for user root

Ne oluyor?!

centos  systemd  process 
gmile
kaynak
48
Cevabı "Birisi beni kesiyor mu?" her zaman "Evet", asıl soru "Birisi beni hacklemede başarılı oldu mu?"
ChuckCottrill
9
kelime 'çatlama' veya 'nüfuz etme' veya 'komut verme', zorunlu olarak 'hackleme' değildir
can-ned_food
6
@ can-ned_food 15 yıl kadar önce söylendi. Ayrımı fark etmem bir sürü hogwash ve “hack” yapmak kesinlikle aynı şey anlamına geliyordu. 1980’de durum böyle olmasa bile, dil kesinlikle şimdi olduğu kadar değişti.
jpmc26
1
@ jpmc26 Anladığım kadarıyla, Hacking daha geniş bir terimdir: bir hacker, başka birinin özensiz kodunda çalışan herhangi bir programcıdır.
can-ned_food
1
@ can-ned_food Bu şekilde kullanılabilir, ancak yetkisiz erişimi tanımlamak için çok daha sık kullanılır. Neredeyse ne anlama geldiği bağlamdan açıkça anlaşılır.
jpmc26

Yanıtlar:

138

eyshcjdmzgbir Linux DDoS trojanıdır (kolayca bir Google aramasıyla bulunur). Muhtemelen saldırıya uğramışsın.

O sunucuyu hemen devre dışı bırak. Artık senin değil.

Lütfen aşağıdaki ServerFault Q / A'yı dikkatlice okuyunuz: Tehdit edilmiş bir sunucuyla nasıl başa çıkılacağı .

Kim olduğunuza ve nerede olduğunuza bağlı olarak, bu olayı resmi olarak yetkililere bildirmekle yükümlü olabileceğinizi unutmayın. Örneğin, İsveç'teki bir devlet kurumunda (örneğin bir üniversite) çalışıyorsanız, durum budur.

İlgili:

Kusalananda
kaynak
2
Hollandalı müşterilere de hizmet veriyorsanız ve kişisel bilgileri (ip adresleri, e-postalar, adlar, alışveriş listesi, kredi kartı bilgileri, şifreler) saklarsanız
Tschallacka
@ tschallacka kesinlikle IP adresi yalnız PII kabul edilmez mi? Hemen hemen her Web sunucusu her yerde IP adreslerini erişim kütüklerinde saklar
Darren H
@DarrenH "Bir kişiyi tanımlamak için kullanılabilecek verileri" vb. Kapsayacağını düşünüyorum. Kayıtlar genellikle bu tip AFAIK veri olarak görülmez, ancak bir IP adresi açıkça bir veritabanında saklanırsa farklı olabilir Bir hesap kaydının parçası olarak.
Kusalananda
Bu mantıklı. Açıklama için teşekkürler
Darren H
Hollanda’da google’a göndermeden önce tüm oktetlerini gizlememiz gerekmektedir, çünkü tüm aralık kişisel bilgi altındadır, çünkü diğer kayıtlarla kontrol edilebilir. Bir hacker, faaliyetlerinizi takip etmek için diğer günlüklerle çapraz bağlantı kurabilir. Yani evet, gerçek bir adres gibi tam kişisel bilgileri
Tschallacka
25

Evet. Eyshcjdmzg için bir google araması , sunucunuzun tehlikeye atıldığını gösterir.

Bkz. Güvenliği ihlal edilmiş bir sunucuyla nasıl başa çıkarım? bunun için ne yapılması gerektiği hakkında (kısacası, sistemi silin ve sıfırdan yeniden yükleyin - üzerinde hiçbir şeye güvenemezsiniz. Umarım önemli verileri ve yapılandırma dosyalarını yedeklersiniz)

cas
kaynak
20
Her virüslü sistemde adı rasgele ayarlamak için canlarını sıkacaklarını düşünürdünüz, ama görünüşe göre değil.
user253751
2
@ immibis Sadece yazarlar için anlamlı olan bir kısaltma olabilir. DMZBiraz gerçek kısaltmadır. sh"kabuk" anlamına gelebilir eyve "e" olmadan "göz" olabilir, ama ben sadece spekülasyon yapıyorum.
Kusalananda
14
@Kusalananda "Bir e Shell Shell CJ gözü silahsızlaştırılmış g bölgesi" deyince, kötü bir isim değil.
Vinh VO
11
@ The-VinhVO Gerçekten dilini yuvarlıyor
Dason
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.