En una máquina virtual en un proveedor de la nube, veo un proceso con un nombre aleatorio extraño. Consume importantes recursos de red y CPU.
Así es como se ve el proceso desde la pstree
vista:
systemd(1)───eyshcjdmzg(37775)─┬─{eyshcjdmzg}(37782)
├─{eyshcjdmzg}(37783)
└─{eyshcjdmzg}(37784)
Me adjunté al proceso usando strace -p PID
. Aquí está la salida que tengo: https://gist.github.com/gmile/eb34d262012afeea82af1c21713b1be9 .
Matar el proceso no funciona. De alguna manera (a través de systemd?) Resucitó. Así es como se ve desde el punto de vista de systemd ( tenga en cuenta la extraña dirección IP en la parte inferior):
$ systemctl status 37775
● session-60.scope - Session 60 of user root
Loaded: loaded
Transient: yes
Drop-In: /run/systemd/system/session-60.scope.d
└─50-After-systemd-logind\x2eservice.conf, 50-After-systemd-user-sessions\x2eservice.conf, 50-Description.conf, 50-SendSIGHUP.conf, 50-Slice.conf, 50-TasksMax.conf
Active: active (abandoned) since Tue 2018-03-06 10:42:51 EET; 1 day 1h ago
Tasks: 14
Memory: 155.4M
CPU: 18h 56min 4.266s
CGroup: /user.slice/user-0.slice/session-60.scope
├─37775 cat resolv.conf
├─48798 cd /etc
├─48799 sh
├─48804 who
├─48806 ifconfig eth0
├─48807 netstat -an
├─48825 cd /etc
├─48828 id
├─48831 ps -ef
├─48833 grep "A"
└─48834 whoami
Mar 06 10:42:51 k8s-master systemd[1]: Started Session 60 of user root.
Mar 06 10:43:27 k8s-master sshd[37594]: Received disconnect from 23.27.74.92 port 59964:11:
Mar 06 10:43:27 k8s-master sshd[37594]: Disconnected from 23.27.74.92 port 59964
Mar 06 10:43:27 k8s-master sshd[37594]: pam_unix(sshd:session): session closed for user root
¡¿Que esta pasando?!
Respuestas:
eyshcjdmzg
es un troyano DDoS de Linux (se encuentra fácilmente a través de una búsqueda de Google). Probablemente has sido hackeado.Toma ese servidor fuera de línea ahora. Ya no es tuyo.
Lea atentamente las siguientes preguntas y respuestas de ServerFault: Cómo tratar con un servidor comprometido .
Tenga en cuenta que dependiendo de quién sea y dónde se encuentre, también puede estar legalmente obligado a informar este incidente a las autoridades. Este es el caso si está trabajando en una agencia gubernamental en Suecia (por ejemplo, una universidad), por ejemplo.
Relacionado:
fuente
Si. Una búsqueda en Google de eyshcjdmzg indica que su servidor ha sido comprometido.
Consulte ¿Cómo trato con un servidor comprometido? para saber qué hacer al respecto (en resumen, limpie el sistema y vuelva a instalarlo desde cero; no puede confiar en nada. Espero que tenga copias de seguridad de datos importantes y archivos de configuración)
fuente
DMZ
bit es un acrónimo real.sh
podría significar "caparazón" yey
puede ser "ojo" sin la "e", pero solo estoy especulando.