Обробляйте дивні випадкові імена, що споживають значні мережеві та процесорні ресурси. Хтось мене зламає?

У VM на постачальнику послуг хмари я бачу процес із дивним випадковим іменем. Він споживає значні мережеві та процесорні ресурси.

Ось як виглядає процес з pstreeвиду:

systemd(1)───eyshcjdmzg(37775)─┬─{eyshcjdmzg}(37782)
                               ├─{eyshcjdmzg}(37783)
                               └─{eyshcjdmzg}(37784)

Я приєднався до процесу за допомогою strace -p PID. Ось результат, який я отримав: https://gist.github.com/gmile/eb34d262012afeea82af1c21713b1be9 .

Вбити процес не працює. Він якось (через systemd?) Воскресився. Ось як це виглядає з системної точки зору ( зверніть увагу на дивну IP-адресу внизу):

$ systemctl status 37775
● session-60.scope - Session 60 of user root
   Loaded: loaded
Transient: yes
  Drop-In: /run/systemd/system/session-60.scope.d
           └─50-After-systemd-logind\x2eservice.conf, 50-After-systemd-user-sessions\x2eservice.conf, 50-Description.conf, 50-SendSIGHUP.conf, 50-Slice.conf, 50-TasksMax.conf
   Active: active (abandoned) since Tue 2018-03-06 10:42:51 EET; 1 day 1h ago
    Tasks: 14
   Memory: 155.4M
      CPU: 18h 56min 4.266s
   CGroup: /user.slice/user-0.slice/session-60.scope
           ├─37775 cat resolv.conf
           ├─48798 cd /etc
           ├─48799 sh
           ├─48804 who
           ├─48806 ifconfig eth0
           ├─48807 netstat -an
           ├─48825 cd /etc
           ├─48828 id
           ├─48831 ps -ef
           ├─48833 grep "A"
           └─48834 whoami

Mar 06 10:42:51 k8s-master systemd[1]: Started Session 60 of user root.
Mar 06 10:43:27 k8s-master sshd[37594]: Received disconnect from 23.27.74.92 port 59964:11:
Mar 06 10:43:27 k8s-master sshd[37594]: Disconnected from 23.27.74.92 port 59964
Mar 06 10:43:27 k8s-master sshd[37594]: pam_unix(sshd:session): session closed for user root

Що відбувається?!

centos systemd process

— посміхнутися
джерело

Відповідь "Хтось мене зламає?" завжди "Так", справжнє питання "Чи хтось вдався зламати мене?".

— ChuckCottrill

слово «тріщить» або «проникає», або «командує», не обов’язково «злом»

— can-ned_food

@ can-ned_food Мені сказали, що близько 15 років тому. Мені знадобився певний час, щоб усвідомити відмінність - це купа багрянини, а "злом" абсолютно означає те саме. Навіть якщо це не було так у 1980 році, мова, безумовно, змінилася достатньо, ніж зараз.

— jpmc26

@ jpmc26 З того, що я зрозумів, Хакер - це більш широкий термін: хакер - це також будь-який програміст, який працює на чужий неохайний код.

— can-ned_food

@ can-ned_food Це може використовуватися таким чином, але набагато частіше використовується для опису несанкціонованого доступу. З контексту майже завжди зрозуміло, що мається на увазі.

— jpmc26

Відповіді:

138

eyshcjdmzgє трояном Linux DDoS (його легко знайти за допомогою пошуку в Google). Вас, швидше за все, зламали.

Візьміть цей сервер офлайн зараз. Це вже не твоє.

Будь ласка уважно прочитайте наступні запитання ServerFault Q / A: Як поводитися з компрометованим сервером .

Зауважте, що залежно від того, хто ви є і де ви знаходитесь, ви можете додатково бути юридично зобов'язаними повідомити про цей випадок владі. Це так, якщо, наприклад, ви працюєте в урядовому агентстві Швеції (наприклад, університеті).

Пов'язані:

— Кусалаланда
джерело

Якщо ви також обслуговуєте голландських клієнтів, і ви зберігаєте особисту інформацію (ip адреси, електронні листи, імена, список покупок, інформацію про кредитну карту, паролі), вам потрібно повідомити про це на datalekken.autoriteitpersoonsgegevens.nl/actionpage?0

— Tschallacka

@tschallacka, безумовно, IP-адреса одна не вважається PII? Практично кожен веб-сервер в будь-якому місці зберігає IP-адреси у своїх журналах доступу

— Darren H

@DarrenH Я припускаю, що він охоплюватиме "дані, які можуть бути використані для ідентифікації людини" тощо. Журнали зазвичай не розглядаються як цей тип даних AFAIK, але це може бути інакше, якщо IP-адреса явно зберігається в базі даних як частина запису рахунку.

— Kusalananda

Що має сенс. Дякую за роз’яснення

— Даррен Х

У Нідерландах нам потрібно замаскувати всі октети перед тим, як надсилати в Google, оскільки весь діапазон підпадає під особисту інформацію, оскільки він може бути узгоджений з іншими записами. Хакер може перехреститись з іншими журналами для відстеження вашої діяльності. Так, так, його повна персональна інформація, як фактична адреса

— Цхаллака

Так. Пошук у Google за eyshcjdmzg вказує на те, що ваш сервер був порушений .

Див. Як я маю справу з компрометованим сервером? що робити з цим (коротше кажучи, витріть систему та перевстановіть з нуля - ви нічого не можете їй довіряти. Сподіваюся, у вас є резервні копії важливих даних та конфігураційних файлів)

— кас
джерело

Ви б могли подумати, що вони будуть намагатися рандомізувати ім’я для кожної зараженої системи, але, мабуть, ні.

— іммібіс

@immibis Це може бути абревіатура, яка має значення лише для авторів. DMZбіт реальний акронім. shможе означати "оболонка" і eyможе бути "очей" без "е", але я просто розмірковую.

— Kusalananda

@Kusalananda Я б сказав "очей без e Shell CJ Демілітаризована зона g" троянський, не погана назва тхо.

— The-Vinh VO

@ The-VinhVO Дійсно котиться з мови

— Дейсон