Processe com um nome aleatório estranho consumindo recursos significativos de rede e CPU. Alguém está me hackeando?

68

Em uma VM em um provedor de nuvem, estou vendo um processo com um nome aleatório estranho. Ele consome recursos significativos da rede e da CPU.

Veja como o processo se parece com pstree view:

systemd(1)───eyshcjdmzg(37775)─┬─{eyshcjdmzg}(37782)
                               ├─{eyshcjdmzg}(37783)
                               └─{eyshcjdmzg}(37784)

Eu anexei o processo usando strace -p PID . Aqui está a saída que eu tenho: link .

Matar o processo não funciona. É de alguma forma (via systemd?) Ressuscitado. Veja como fica do ponto de vista do systemd ( anote o endereço IP estranho na parte inferior):

$ systemctl status 37775
● session-60.scope - Session 60 of user root
   Loaded: loaded
Transient: yes
  Drop-In: /run/systemd/system/session-60.scope.d
           └─50-After-systemd-logind\x2eservice.conf, 50-After-systemd-user-sessions\x2eservice.conf, 50-Description.conf, 50-SendSIGHUP.conf, 50-Slice.conf, 50-TasksMax.conf
   Active: active (abandoned) since Tue 2018-03-06 10:42:51 EET; 1 day 1h ago
    Tasks: 14
   Memory: 155.4M
      CPU: 18h 56min 4.266s
   CGroup: /user.slice/user-0.slice/session-60.scope
           ├─37775 cat resolv.conf
           ├─48798 cd /etc
           ├─48799 sh
           ├─48804 who
           ├─48806 ifconfig eth0
           ├─48807 netstat -an
           ├─48825 cd /etc
           ├─48828 id
           ├─48831 ps -ef
           ├─48833 grep "A"
           └─48834 whoami

Mar 06 10:42:51 k8s-master systemd[1]: Started Session 60 of user root.
Mar 06 10:43:27 k8s-master sshd[37594]: Received disconnect from 23.27.74.92 port 59964:11:
Mar 06 10:43:27 k8s-master sshd[37594]: Disconnected from 23.27.74.92 port 59964
Mar 06 10:43:27 k8s-master sshd[37594]: pam_unix(sshd:session): session closed for user root

O que está acontecendo?!

    
por gmile 07.03.2018 / 12:26

2 respostas

137

eyshcjdmzg é um trojan DDoS do Linux (encontrado facilmente por meio de uma pesquisa no Google). Você provavelmente foi hackeado.

Leve esse servidor off-line agora. Não é mais seu.

Por favor, leia com atenção o seguinte ServerFault Q / A: Como lidar com um servidor comprometido .

Observe que, dependendo de quem você é e de onde você é, você também pode ser legalmente obrigado a denunciar este incidente às autoridades. Este é o caso se você estiver trabalhando em uma agência do governo na Suécia (por exemplo, uma universidade), por exemplo.

Relacionados:

por 07.03.2018 / 12:33
23

Sim. Uma pesquisa no Google por eyshcjdmzg indica que seu servidor foi comprometido.

Veja Como faço para lidar com um servidor comprometido? o que fazer sobre isso (em suma, limpar o sistema e reinstalar do zero - você não pode confiar em nada nele. Espero que você tenha backups de dados importantes e arquivos de configuração)

    
por 07.03.2018 / 12:33