Por que o usuário elasticsearch está executando o SSHD?

Question

Por que o usuário elasticsearch está executando o SSHD?

#1 resposta do (8 votos)
#2 resposta do (1 votos)

6

Minha rede doméstica está com problemas e reduzi o problema à minha caixa do Ubuntu.

$ ps -ef | grep elastic
elastic+ 11183     1  0  8월10 ?      00:07:49 [.ECC6DFE919A382]
eugenek+ 14482 14453  0 22:08 pts/19   00:00:00 grep elastic
elastic+ 20208     1  0  8월07 ?      00:01:35 [.......]
elastic+ 24398     1  0  8월08 ?      00:01:20 [SSHD]
elastic+ 24745     1  4 10:44 ?        00:27:29 /tmp/.Udelo
elastic+ 27895     1  0  8월09 ?      00:00:47 [.......]
elastic+ 28652     1  0  8월09 ?      00:00:46 [.......]
elastic+ 31127     1  0  8월09 ?      00:00:41 [.......]
elastic+ 31223     1  0  8월07 ?      00:01:34 [.......]
elastic+ 31460     1  0 19:23 ?        00:00:02 [freeBSD]

elástico + é o usuário elasticsearch que é criado quando eu configuro o servidor elasticsearch.

Parece estranho? ou são processos regulares executados pela elasticsearch?

EDITAR

Eu também achei isso .. Então parece mais severo do que o que o kmac originalmente sugeriu?

116.10.191.177 não é alguém que eu conheço, é da China ..

rootkit ubuntu

por eugene 11.08.2014 / 15:14

2 respostas

1

Estou na versão 0.90.10 e não tenho SSHD executando o usuário elástico +.

~$ ps -ef | grep elastic
nonroot    1647  1627  0 10:24 pts/0    00:00:00 grep --color=auto elastic
elastic+  5322     1  1 May09 ?        1-02:38:50 /usr/lib/jvm/java-7-openjdk-amd64//bin/java -Xms256m -Xmx1g -Xss256k -Djava.awt.headless=true -XX:+UseParNewGC -XX:+UseConcMarkSweepGC -XX:CMSInitiatingOccupancyFraction=75 -XX:+UseCMSInitiatingOccupancyOnly -XX:+HeapDumpOnOutOfMemoryError -Delasticsearch -Des.pidfile=/var/run/elasticsearch.pid -Des.path.home=/usr/share/elasticsearch -cp :/usr/share/elasticsearch/lib/elasticsearch-0.90.10.jar:/usr/share/elasticsearch/lib/*:/usr/share/elasticsearch/lib/sigar/* -Des.default.config=/etc/elasticsearch/elasticsearch.yml -Des.default.path.home=/usr/share/elasticsearch -Des.default.path.logs=/var/log/elasticsearch -Des.default.path.data=/var/lib/elasticsearch -Des.default.path.work=/tmp/elasticsearch -Des.default.path.conf=/etc/elasticsearch org.elasticsearch.bootstrap.ElasticSearch

por 11.08.2014 / 16:30

Tags rootkit ubuntu

Como configurar um firewall no Centos usando o Vagrant e o Chef A energia do laptop é interrompida ~ 5 minutos no jogo

score 8 · Accepted Answer

Este é provavelmente um malware que utiliza um exploit na pesquisa elástica ou em java.

Já corri para o mesmo problema em que meu usuário tomcat7 é comprometido e há os mesmos processos em execução que você tem.

Deverão existir os seguintes arquivos (ou similares) na sua pasta / tmp, de propriedade do elástico +

.ECC6DFE919A382BADRR1A8CDFC9FB43AA0
zzt.pl

e possivelmente

mysql1

Uma vez comprometida, a máquina será usada para ataques DDOS, geralmente pela porta UDP 80.

Para limpar, elimine os processos problemáticos e exclua todos os arquivos incorretos em / tmp. Isso acelerará a sua máquina por enquanto, mas qualquer vulnerabilidade que esteja sendo explorada ainda pode ser usada para obter acesso à sua máquina novamente. Procurando um pouco mais, parece que uma correção para o elasticsearch pode adicionar script.disable_dynamic: true ao elasticsearch.yml. Ainda não há correção para o tomcat no entanto ...

Certifique-se de que o elástico + usuário não tenha acesso root ou privilégios elevados, pois eles poderiam usá-los para explorar sua caixa ainda mais.

Essa exploração surgiu no final de julho e só consegui encontrar informações em fóruns chineses. Usando o google translate eu tenho boas informações, mas ainda não tenho solução.

Aqui está o link com algumas informações, eles agora mencionam a pesquisa elástica, bem como o tomcat: link

UPDATE

Para a exploração do tomcat, descobri que a exploração que está sendo usada pode ser uma vulnerabilidade do struts2. Eu recomendaria a atualização para a versão mais recente do struts2.