Verarbeiten mit seltsamen zufälligen Namen, die erhebliche Netzwerk- und CPU-Ressourcen verbrauchen. Hackt mich jemand?

69

In einer VM auf einem Cloud-Anbieter wird ein Prozess mit einem seltsamen zufälligen Namen angezeigt. Es verbraucht erhebliche Netzwerk- und CPU-Ressourcen.

So sieht der Prozess aus der pstreeSicht aus:

systemd(1)───eyshcjdmzg(37775)─┬─{eyshcjdmzg}(37782)
                               ├─{eyshcjdmzg}(37783)
                               └─{eyshcjdmzg}(37784)

Ich habe an den Prozess mit angehängt strace -p PID. Hier ist die Ausgabe, die ich habe: https://gist.github.com/gmile/eb34d262012afeea82af1c21713b1be9 .

Den Prozess zu beenden, funktioniert nicht. Es ist irgendwie (über systemd?) Auferstanden. So sieht es aus Sicht des Systems aus ( beachten Sie die seltsame IP-Adresse unten):

$ systemctl status 37775
● session-60.scope - Session 60 of user root
   Loaded: loaded
Transient: yes
  Drop-In: /run/systemd/system/session-60.scope.d
           └─50-After-systemd-logind\x2eservice.conf, 50-After-systemd-user-sessions\x2eservice.conf, 50-Description.conf, 50-SendSIGHUP.conf, 50-Slice.conf, 50-TasksMax.conf
   Active: active (abandoned) since Tue 2018-03-06 10:42:51 EET; 1 day 1h ago
    Tasks: 14
   Memory: 155.4M
      CPU: 18h 56min 4.266s
   CGroup: /user.slice/user-0.slice/session-60.scope
           ├─37775 cat resolv.conf
           ├─48798 cd /etc
           ├─48799 sh
           ├─48804 who
           ├─48806 ifconfig eth0
           ├─48807 netstat -an
           ├─48825 cd /etc
           ├─48828 id
           ├─48831 ps -ef
           ├─48833 grep "A"
           └─48834 whoami

Mar 06 10:42:51 k8s-master systemd[1]: Started Session 60 of user root.
Mar 06 10:43:27 k8s-master sshd[37594]: Received disconnect from 23.27.74.92 port 59964:11:
Mar 06 10:43:27 k8s-master sshd[37594]: Disconnected from 23.27.74.92 port 59964
Mar 06 10:43:27 k8s-master sshd[37594]: pam_unix(sshd:session): session closed for user root

Was ist los?!

gmile
quelle
48
Die Antwort auf "Hackt mich jemand?" lautet immer "Ja", die eigentliche Frage lautet "Hat es jemand geschafft, mich zu hacken?".
ChuckCottrill
9
das wort ist "knacken" oder "eindringen" oder "
befehlen
6
@ can-ned_food Mir wurde das vor ungefähr 15 Jahren gesagt. Es hat eine Weile gedauert, bis mir klar wurde, dass es sich bei der Unterscheidung um einen Haufen Quatsch handelt und dass "Hacken" absolut dasselbe bedeutet. Auch wenn das 1980 noch nicht der Fall war, hat sich die Sprache doch so verändert, wie sie es heute ist.
jpmc26
1
@ jpmc26 Nach meinem Verständnis ist Hacking der allgemeinere Begriff: Ein Hacker ist auch jeder alte Programmierer, der mit dem schlampigen Code eines anderen arbeitet.
can-ned_food
1
@ can-ned_food Kann auf diese Weise verwendet werden, wird jedoch viel häufiger verwendet, um nicht autorisierten Zugriff zu beschreiben. Es ist fast immer klar aus dem Kontext, was gemeint ist.
jpmc26

Antworten:

138

eyshcjdmzgist ein Linux-DDoS-Trojaner (leicht über eine Google-Suche zu finden). Du wurdest wahrscheinlich gehackt.

Schalten Sie diesen Server jetzt aus. Es gehört dir nicht mehr.

Bitte lesen Sie die folgenden Fragen und Antworten zu ServerFault sorgfältig durch: So gehen Sie mit einem kompromittierten Server um .

Beachten Sie, dass Sie je nachdem, wer Sie sind und wo Sie sich befinden, gesetzlich verpflichtet sein können, diesen Vorfall den Behörden zu melden. Dies ist beispielsweise der Fall, wenn Sie in einer schwedischen Regierungsbehörde (z. B. einer Universität) arbeiten.

Verbunden:

Kusalananda
quelle
2
Wenn Sie auch niederländische Kunden bedienen und persönliche Informationen (IP-Adressen, E-Mails, Namen, Einkaufslisten, Kreditkarteninformationen, Kennwörter) speichern, müssen Sie dies datalekken.autoriteitpersoonsgegevens.nl/actionpage?0
Tschallacka
@tschallacka sicherlich IP-Adresse allein wird nicht als PII betrachtet? Nahezu jeder Webserver speichert IP-Adressen in seinen Zugriffsprotokollen
Darren H
@DarrenH Ich gehe davon aus, dass es sich um "Daten handelt, mit denen eine Person identifiziert werden kann" usw. Protokolle werden normalerweise nicht als diese Art von Daten AFAIK angesehen, aber es kann anders sein, wenn eine IP-Adresse explizit in einer Datenbank gespeichert wird als Teil eines Kontodatensatzes.
Kusalananda
Das macht Sinn. Vielen Dank für die Klarstellung
Darren H
In den Niederlanden müssen wir alle Oktette maskieren, bevor wir sie an Google senden, da der gesamte Bereich unter persönliche Informationen fällt, da er mit anderen Datensätzen verglichen werden kann. Ein Hacker könnte mit anderen Protokollen eine Gegenprüfung durchführen, um Ihre Aktivitäten zu verfolgen. Also ja, seine vollständigen persönlichen Informationen wie eine tatsächliche Adresse
Tschallacka
25

Ja. Eine Google-Suche nach eyshcjdmzg zeigt an, dass Ihr Server kompromittiert wurde.

Siehe Wie gehe ich mit einem kompromittierten Server um? Was ist zu tun? (Kurz gesagt: Wischen Sie das System ab und installieren Sie es von Grund auf neu. Sie können nichts darauf vertrauen. Ich hoffe, Sie haben Backups wichtiger Daten und Konfigurationsdateien.)

cas
quelle
20
Man könnte meinen, sie würden sich die Mühe machen, den Namen auf jedem infizierten System nach dem Zufallsprinzip zu sortieren, aber anscheinend nicht.
user253751
2
@immibis Dies kann eine Abkürzung sein, die nur für die Autoren von Bedeutung ist. Das DMZBit ist ein echtes Akronym. shkönnte "shell" bedeuten und eykönnte "eye" ohne "e" sein, aber ich spekuliere nur.
Kusalananda
14
@Kusalananda Ich würde sagen "Auge ohne e Shell CJ Demilitarized Zone g" Trojaner, kein schlechter Name tho.
The-Vinh VO
11
@ The-VinhVO Rollt wirklich die Zunge
runter