In einer VM auf einem Cloud-Anbieter wird ein Prozess mit einem seltsamen zufälligen Namen angezeigt. Es verbraucht erhebliche Netzwerk- und CPU-Ressourcen.
So sieht der Prozess aus der pstree
Sicht aus:
systemd(1)───eyshcjdmzg(37775)─┬─{eyshcjdmzg}(37782)
├─{eyshcjdmzg}(37783)
└─{eyshcjdmzg}(37784)
Ich habe an den Prozess mit angehängt strace -p PID
. Hier ist die Ausgabe, die ich habe: https://gist.github.com/gmile/eb34d262012afeea82af1c21713b1be9 .
Den Prozess zu beenden, funktioniert nicht. Es ist irgendwie (über systemd?) Auferstanden. So sieht es aus Sicht des Systems aus ( beachten Sie die seltsame IP-Adresse unten):
$ systemctl status 37775
● session-60.scope - Session 60 of user root
Loaded: loaded
Transient: yes
Drop-In: /run/systemd/system/session-60.scope.d
└─50-After-systemd-logind\x2eservice.conf, 50-After-systemd-user-sessions\x2eservice.conf, 50-Description.conf, 50-SendSIGHUP.conf, 50-Slice.conf, 50-TasksMax.conf
Active: active (abandoned) since Tue 2018-03-06 10:42:51 EET; 1 day 1h ago
Tasks: 14
Memory: 155.4M
CPU: 18h 56min 4.266s
CGroup: /user.slice/user-0.slice/session-60.scope
├─37775 cat resolv.conf
├─48798 cd /etc
├─48799 sh
├─48804 who
├─48806 ifconfig eth0
├─48807 netstat -an
├─48825 cd /etc
├─48828 id
├─48831 ps -ef
├─48833 grep "A"
└─48834 whoami
Mar 06 10:42:51 k8s-master systemd[1]: Started Session 60 of user root.
Mar 06 10:43:27 k8s-master sshd[37594]: Received disconnect from 23.27.74.92 port 59964:11:
Mar 06 10:43:27 k8s-master sshd[37594]: Disconnected from 23.27.74.92 port 59964
Mar 06 10:43:27 k8s-master sshd[37594]: pam_unix(sshd:session): session closed for user root
Was ist los?!
Antworten:
eyshcjdmzg
ist ein Linux-DDoS-Trojaner (leicht über eine Google-Suche zu finden). Du wurdest wahrscheinlich gehackt.Schalten Sie diesen Server jetzt aus. Es gehört dir nicht mehr.
Bitte lesen Sie die folgenden Fragen und Antworten zu ServerFault sorgfältig durch: So gehen Sie mit einem kompromittierten Server um .
Beachten Sie, dass Sie je nachdem, wer Sie sind und wo Sie sich befinden, gesetzlich verpflichtet sein können, diesen Vorfall den Behörden zu melden. Dies ist beispielsweise der Fall, wenn Sie in einer schwedischen Regierungsbehörde (z. B. einer Universität) arbeiten.
Verbunden:
quelle
Ja. Eine Google-Suche nach eyshcjdmzg zeigt an, dass Ihr Server kompromittiert wurde.
Siehe Wie gehe ich mit einem kompromittierten Server um? Was ist zu tun? (Kurz gesagt: Wischen Sie das System ab und installieren Sie es von Grund auf neu. Sie können nichts darauf vertrauen. Ich hoffe, Sie haben Backups wichtiger Daten und Konfigurationsdateien.)
quelle
DMZ
Bit ist ein echtes Akronym.sh
könnte "shell" bedeuten undey
könnte "eye" ohne "e" sein, aber ich spekuliere nur.