Procese con nombres aleatorios extraños que consuman importantes recursos de red y CPU. ¿Alguien me está hackeando?

69

En una máquina virtual en un proveedor de la nube, veo un proceso con un nombre aleatorio extraño. Consume importantes recursos de red y CPU.

Así es como se ve el proceso desde la pstreevista:

systemd(1)───eyshcjdmzg(37775)─┬─{eyshcjdmzg}(37782)
                               ├─{eyshcjdmzg}(37783)
                               └─{eyshcjdmzg}(37784)

Me adjunté al proceso usando strace -p PID. Aquí está la salida que tengo: https://gist.github.com/gmile/eb34d262012afeea82af1c21713b1be9 .

Matar el proceso no funciona. De alguna manera (a través de systemd?) Resucitó. Así es como se ve desde el punto de vista de systemd ( tenga en cuenta la extraña dirección IP en la parte inferior):

$ systemctl status 37775
● session-60.scope - Session 60 of user root
   Loaded: loaded
Transient: yes
  Drop-In: /run/systemd/system/session-60.scope.d
           └─50-After-systemd-logind\x2eservice.conf, 50-After-systemd-user-sessions\x2eservice.conf, 50-Description.conf, 50-SendSIGHUP.conf, 50-Slice.conf, 50-TasksMax.conf
   Active: active (abandoned) since Tue 2018-03-06 10:42:51 EET; 1 day 1h ago
    Tasks: 14
   Memory: 155.4M
      CPU: 18h 56min 4.266s
   CGroup: /user.slice/user-0.slice/session-60.scope
           ├─37775 cat resolv.conf
           ├─48798 cd /etc
           ├─48799 sh
           ├─48804 who
           ├─48806 ifconfig eth0
           ├─48807 netstat -an
           ├─48825 cd /etc
           ├─48828 id
           ├─48831 ps -ef
           ├─48833 grep "A"
           └─48834 whoami

Mar 06 10:42:51 k8s-master systemd[1]: Started Session 60 of user root.
Mar 06 10:43:27 k8s-master sshd[37594]: Received disconnect from 23.27.74.92 port 59964:11:
Mar 06 10:43:27 k8s-master sshd[37594]: Disconnected from 23.27.74.92 port 59964
Mar 06 10:43:27 k8s-master sshd[37594]: pam_unix(sshd:session): session closed for user root

¡¿Que esta pasando?!

gmile
fuente
48
La respuesta a "¿Alguien me está hackeando?" siempre es "Sí", la verdadera pregunta es "¿Alguien ha logrado hackearme?".
ChuckCottrill
9
la palabra es "crackear" o "penetrar", o "comandar", no necesariamente "piratear"
can-ned_food
66
@ can-ned_food Me dijeron que hace unos 15 años. Me tomó un tiempo darme cuenta de que la distinción es un montón de tonterías y "piratear" significa absolutamente lo mismo. Incluso si ese no fuera el caso en 1980, el lenguaje ciertamente ha cambiado lo suficiente como ahora.
jpmc26
1
@ jpmc26 Por lo que entendí, piratería es el término más amplio: un pirata informático es también cualquier programador que trabaje en el código descuidado de otra persona.
can-ned_food
1
@ can-ned_food Se puede usar de esa manera, pero se usa mucho más comúnmente para describir el acceso no autorizado. Casi siempre queda claro por el contexto lo que se entiende.
jpmc26

Respuestas:

138

eyshcjdmzges un troyano DDoS de Linux (se encuentra fácilmente a través de una búsqueda de Google). Probablemente has sido hackeado.

Toma ese servidor fuera de línea ahora. Ya no es tuyo.

Lea atentamente las siguientes preguntas y respuestas de ServerFault: Cómo tratar con un servidor comprometido .

Tenga en cuenta que dependiendo de quién sea y dónde se encuentre, también puede estar legalmente obligado a informar este incidente a las autoridades. Este es el caso si está trabajando en una agencia gubernamental en Suecia (por ejemplo, una universidad), por ejemplo.

Relacionado:

Kusalananda
fuente
2
Si también atiende a clientes holandeses y almacena información personal (direcciones IP, correos electrónicos, nombres, lista de compras, información de tarjetas de crédito, contraseñas), debe informarla a datalekken.autoriteitpersoonsgegevens.nl/actionpage?0
Tschallacka
@tschallacka seguramente la dirección IP sola no se considera PII? Casi todos los servidores web en cualquier lugar almacenan direcciones IP en sus registros de acceso
Darren H
@DarrenH Supongo que abarcaría "datos que pueden usarse para identificar a una persona", etc. Los registros generalmente no se ven como este tipo de datos AFAIK, pero puede ser diferente si una dirección IP se almacena explícitamente en una base de datos como parte de un registro de cuenta.
Kusalananda
Eso tiene sentido. Gracias por la aclaración
Darren H
En los países bajos, debemos enmascarar todos los octetos antes de enviarlos a Google porque todo el rango se encuentra bajo información personal, ya que se puede verificar con otros registros. Un pirata informático podría realizar una verificación cruzada con otros registros para rastrear sus actividades. Entonces sí, es toda la información personal como una dirección real
Tschallacka
25

Si. Una búsqueda en Google de eyshcjdmzg indica que su servidor ha sido comprometido.

Consulte ¿Cómo trato con un servidor comprometido? para saber qué hacer al respecto (en resumen, limpie el sistema y vuelva a instalarlo desde cero; no puede confiar en nada. Espero que tenga copias de seguridad de datos importantes y archivos de configuración)

cas
fuente
20
Uno pensaría que se molestarían en aleatorizar el nombre en cada sistema infectado, pero aparentemente no.
user253751
2
@immibis Puede ser una abreviatura, significativa solo para los autores. El DMZbit es un acrónimo real. shpodría significar "caparazón" y eypuede ser "ojo" sin la "e", pero solo estoy especulando.
Kusalananda
14
@Kusalananda Yo diría "Ojo sin e Shell CJ zona desmilitarizada g" troyano, aunque no es un mal nombre.
The-Vinh VO
11
@ The-VinhVO Realmente sale de la lengua
Dason