Processo com nome aleatório

0

Temos um servidor centos com clientes executando contêineres vps nele. Quando executamos ps auxwww , vemos um processo nomeado aleatoriamente em execução (consumindo muita largura de banda). Toda vez que verificamos, o nome é diferente: hx9hdoh0d, y98y9ydhi, 87t8gt8878 são as mudanças de nome.

O que está ativando a mudança de nome? É suspeito que alguém queira proteger um processo como este.

    
por 8DK 11.11.2014 / 16:15

1 resposta

5

Isso dispara os alarmes para mim.

Verifique seu ID de processo e veja ls -l /proc/process_id/ para ver, por exemplo o que o executável é (o exe symlink). Você pode copiar para o qual esse link aponta para análise. Além disso, verifique o que está fazendo com strace -p process_id . Se estiver se conectando à Internet, você poderá fazer o firewall dessas conexões de saída enquanto analisa a situação.

Se a localização exe estiver em algum lugar em um diretório temporário ou em algum outro local gravável por, por exemplo, o processo do servidor web é uma aposta bastante segura de que o sistema foi comprometido. Em qual usuário ele está sendo executado? Se não for root, então talvez o dano causado seja limitado e você pode escapar com a limpeza após ele; No entanto, recomendo enfaticamente limpar o sistema, restaurar a partir do backup e descobrir como o sistema foi comprometido para evitar que isso aconteça novamente.

    
por 11.11.2014 / 16:23

Tags