Процесс со странным случайным именем, потребляющий значительные ресурсы сети и процессора. Кто-то взламывает меня?

69

В виртуальной машине на облачном провайдере я вижу процесс со странным случайным именем. Он потребляет значительные ресурсы сети и процессора.

Вот как выглядит процесс из pstreeвида:

systemd(1)───eyshcjdmzg(37775)─┬─{eyshcjdmzg}(37782)
                               ├─{eyshcjdmzg}(37783)
                               └─{eyshcjdmzg}(37784)

Я приложил к процессу, используя strace -p PID. Вот вывод, который я получил: https://gist.github.com/gmile/eb34d262012afeea82af1c21713b1be9 .

Убить процесс не работает. Как-то (через systemd?) Воскрес. Вот как это выглядит с точки зрения systemd ( обратите внимание на странный IP-адрес внизу):

$ systemctl status 37775
● session-60.scope - Session 60 of user root
   Loaded: loaded
Transient: yes
  Drop-In: /run/systemd/system/session-60.scope.d
           └─50-After-systemd-logind\x2eservice.conf, 50-After-systemd-user-sessions\x2eservice.conf, 50-Description.conf, 50-SendSIGHUP.conf, 50-Slice.conf, 50-TasksMax.conf
   Active: active (abandoned) since Tue 2018-03-06 10:42:51 EET; 1 day 1h ago
    Tasks: 14
   Memory: 155.4M
      CPU: 18h 56min 4.266s
   CGroup: /user.slice/user-0.slice/session-60.scope
           ├─37775 cat resolv.conf
           ├─48798 cd /etc
           ├─48799 sh
           ├─48804 who
           ├─48806 ifconfig eth0
           ├─48807 netstat -an
           ├─48825 cd /etc
           ├─48828 id
           ├─48831 ps -ef
           ├─48833 grep "A"
           └─48834 whoami

Mar 06 10:42:51 k8s-master systemd[1]: Started Session 60 of user root.
Mar 06 10:43:27 k8s-master sshd[37594]: Received disconnect from 23.27.74.92 port 59964:11:
Mar 06 10:43:27 k8s-master sshd[37594]: Disconnected from 23.27.74.92 port 59964
Mar 06 10:43:27 k8s-master sshd[37594]: pam_unix(sshd:session): session closed for user root

Что происходит?!

centos systemd process gmile
источник
48
Ответ на вопрос "Кто-то взламывает меня?" всегда "Да", реальный вопрос - "Удалось ли кому-нибудь взломать меня?"
ChuckCottrill
9
слово «взлом» или «проникающий», или «командование», не обязательно «взлом»
can-ned_food
6
@ can-ned_food Мне сказали, что около 15 лет назад. Мне потребовалось некоторое время, чтобы понять, что различие - это куча фигни, и «взлом» означает абсолютно то же самое. Даже если бы это было не так в 1980 году, язык, безусловно, изменился настолько, что сейчас.
jpmc26
1
@ jpmc26 Из того, что я понял, хакерство - это более широкий термин: хакер - это также любой старый программист, работающий над чужим неаккуратным кодом.
can-ned_food
1
@ can-ned_food Это можно использовать таким образом, но гораздо чаще используется для описания несанкционированного доступа. Из контекста почти всегда ясно, что имеется в виду.
jpmc26

Ответы:

138

eyshcjdmzgявляется DDoS-трояном Linux (его легко найти с помощью поиска Google). Вы, вероятно, были взломаны.

Переведите этот сервер в автономный режим. Это больше не твое.

Пожалуйста, внимательно прочитайте следующую ServerFault Q / A: Как работать с взломанным сервером .

Обратите внимание, что в зависимости от того, кто вы есть и где вы находитесь, вы также можете по закону быть обязаны сообщить об этом инциденте властям. Это тот случай, если вы работаете в государственном учреждении в Швеции (например, в университете), например.

Связанный:

Кусалананда
источник
2
Если вы также обслуживаете голландских клиентов и храните личную информацию (IP-адреса, адреса электронной почты, имена, список покупок, данные кредитной карты, пароли), вы должны сообщить об этом по адресу datalekken.autoriteitpersoonsgegevens.nl/actionpage?0
Tschallacka
@tschallacka, конечно, один IP-адрес не считается PII? Практически каждый веб-сервер в любом месте хранит IP-адреса в своих журналах доступа
Даррен Х
@DarrenH Я предполагаю, что это будет охватывать «данные, которые могут быть использованы для идентификации человека» и т. Д. Журналы обычно не рассматриваются как данные этого типа AFAIK, но они могут отличаться, если IP-адрес явно хранится в базе данных. как часть учетной записи.
Кусалананда
Это имеет смысл. Спасибо за разъяснение
Даррен Х
В Нидерландах мы должны замаскировать все октеты перед отправкой в ​​Google, потому что весь диапазон подпадает под личную информацию, потому что он может быть проверен с другими записями. Хакер может проверить другие журналы, чтобы отслеживать ваши действия. Так что да, его полная личная информация, как фактический адрес
Чаллака
25

Да. Поиск eyshcjdmzg в Google показывает, что ваш сервер был взломан.

См. Как мне работать с взломанным сервером? что делать с этим (короче говоря, вытрите систему и переустановите ее с нуля - вы ничего не можете ей доверять. Надеюсь, у вас есть резервные копии важных данных и конфигурационных файлов)

саз
источник
20
Вы могли бы подумать, что они будут рандомизировать имя в каждой зараженной системе, но, очевидно, нет.
user253751
2
@immibis Это может быть аббревиатура, значимая только для авторов. DMZбит реальный акроним. shможет означать «оболочка» и eyможет быть «глаз» без «е», но я просто размышляю.
Кусалананда
14
@Kusalananda Я бы сказал, что «Глаз без e Shell CJ Демилитаризованная зона g» троян, не плохое имя, хотя.
The Vinh VO
11
@ The-VinhVO Действительно скатывается с языка
Дейсон