Quá trình với tên ngẫu nhiên kỳ lạ tiêu tốn tài nguyên mạng và CPU đáng kể. Có ai hack tôi không?

69

Trong một VM trên một nhà cung cấp đám mây, tôi đang thấy một quá trình với tên ngẫu nhiên kỳ lạ. Nó tiêu thụ tài nguyên mạng và CPU đáng kể.

Đây là cách quá trình nhìn từ pstreexem:

systemd(1)───eyshcjdmzg(37775)─┬─{eyshcjdmzg}(37782)
                               ├─{eyshcjdmzg}(37783)
                               └─{eyshcjdmzg}(37784)

Tôi gắn liền với quá trình sử dụng strace -p PID. Đây là đầu ra mà tôi có: https://gist.github.com/gmile/eb34d262012afeea82af1c21713b1be9 .

Giết quá trình không hoạt động. Nó bằng cách nào đó (thông qua systemd?) Được hồi sinh. Đây là cách nó nhìn từ quan điểm systemd ( lưu ý địa chỉ IP kỳ lạ ở phía dưới):

$ systemctl status 37775
● session-60.scope - Session 60 of user root
   Loaded: loaded
Transient: yes
  Drop-In: /run/systemd/system/session-60.scope.d
           └─50-After-systemd-logind\x2eservice.conf, 50-After-systemd-user-sessions\x2eservice.conf, 50-Description.conf, 50-SendSIGHUP.conf, 50-Slice.conf, 50-TasksMax.conf
   Active: active (abandoned) since Tue 2018-03-06 10:42:51 EET; 1 day 1h ago
    Tasks: 14
   Memory: 155.4M
      CPU: 18h 56min 4.266s
   CGroup: /user.slice/user-0.slice/session-60.scope
           ├─37775 cat resolv.conf
           ├─48798 cd /etc
           ├─48799 sh
           ├─48804 who
           ├─48806 ifconfig eth0
           ├─48807 netstat -an
           ├─48825 cd /etc
           ├─48828 id
           ├─48831 ps -ef
           ├─48833 grep "A"
           └─48834 whoami

Mar 06 10:42:51 k8s-master systemd[1]: Started Session 60 of user root.
Mar 06 10:43:27 k8s-master sshd[37594]: Received disconnect from 23.27.74.92 port 59964:11:
Mar 06 10:43:27 k8s-master sshd[37594]: Disconnected from 23.27.74.92 port 59964
Mar 06 10:43:27 k8s-master sshd[37594]: pam_unix(sshd:session): session closed for user root

Chuyện gì đang xảy ra vậy?!

centos  systemd  process 
gmile
nguồn
48
Câu trả lời cho "Có ai hack tôi không?" luôn luôn là "Có", câu hỏi thực sự là "Có ai đó đã thành công trong việc hack tôi chưa?".
ChuckCottrill
9
từ này là 'bẻ khóa' hoặc 'thâm nhập' hoặc 'chỉ huy', không nhất thiết là 'hack'
can-ned_food
6
@ can-ned_food Tôi đã nói rằng khoảng 15 năm trước. Phải mất một thời gian tôi mới nhận ra sự khác biệt là một đống hogwash và "hack" hoàn toàn có nghĩa tương tự. Ngay cả khi đó không phải là trường hợp vào năm 1980, ngôn ngữ chắc chắn đã thay đổi đủ so với bây giờ.
jpmc26
1
@ jpmc26 Theo những gì tôi hiểu, Hacking là thuật ngữ rộng hơn: một hacker cũng là bất kỳ lập trình viên ol nào làm việc với mã cẩu thả của người khác.
can-ned_food
1
@ can-ned_food Nó có thể được sử dụng theo cách đó, nhưng nó được sử dụng phổ biến hơn nhiều để mô tả truy cập trái phép. Nó gần như luôn luôn rõ ràng từ bối cảnh có nghĩa là gì.
jpmc26

Câu trả lời:

138

eyshcjdmzglà một trojan DDoS của Linux (dễ dàng tìm thấy thông qua tìm kiếm của Google). Bạn có khả năng đã bị hack.

Mang máy chủ ra khỏi mạng ngay bây giờ. Nó không còn là của bạn nữa.

Vui lòng đọc kỹ Q / A ServerFault sau: Cách đối phó với máy chủ bị xâm nhập .

Lưu ý rằng tùy thuộc vào bạn là ai và bạn đang ở đâu, bạn cũng có thể có nghĩa vụ pháp lý để báo cáo sự cố này cho chính quyền. Đây là trường hợp nếu bạn đang làm việc tại một cơ quan chính phủ ở Thụy Điển (ví dụ như một trường đại học), ví dụ.

Liên quan:

Kusalananda
nguồn
2
Nếu bạn cũng phục vụ khách hàng Hà Lan và bạn lưu trữ thông tin cá nhân (địa chỉ ip, email, tên, danh sách mua sắm, thông tin thẻ tín dụng, mật khẩu), bạn cần báo cáo cho datalekken.autorititpersoonsgegevens.nl/actionpage?0
Tschallacka
@tschallacka chắc chắn một mình địa chỉ IP không được coi là PII? Khá nhiều máy chủ web ở bất cứ nơi nào lưu trữ địa chỉ IP trong nhật ký truy cập của nó
Darren H
@DarrenH Tôi giả sử rằng nó sẽ bao gồm "dữ liệu có thể được sử dụng để nhận dạng một người" v.v ... Nhật ký thường không được xem là loại dữ liệu này AFAIK, nhưng nó có thể khác nếu địa chỉ IP được lưu trữ rõ ràng trong cơ sở dữ liệu như một phần của hồ sơ tài khoản.
Kusalananda
Điều đó có ý nghĩa. Cảm ơn đã làm rõ
Darren H
Ở hà lan, chúng tôi được yêu cầu che dấu tất cả các octet trước khi gửi tới google vì toàn bộ phạm vi thuộc thông tin cá nhân, bởi vì nó có thể được kiểm tra chéo với các hồ sơ khác. Một hacker có thể kiểm tra chéo với các bản ghi khác để theo dõi các hoạt động của bạn. Vì vậy, có, thông tin đầy đủ của nó như một địa chỉ thực tế
Tschallacka
25

Đúng. Một tìm kiếm google cho eyshcjdmzg chỉ ra rằng máy chủ của bạn đã bị xâm nhập.

Xem Làm thế nào để tôi đối phó với một máy chủ bị xâm nhập? để làm gì về điều đó (tóm lại, xóa sạch hệ thống và cài đặt lại từ đầu - bạn không thể tin bất cứ điều gì vào nó. Tôi hy vọng bạn có bản sao lưu các tệp cấu hình và dữ liệu quan trọng)

cas
nguồn
20
Bạn sẽ nghĩ rằng họ bận tâm chọn ngẫu nhiên tên trên mỗi hệ thống bị nhiễm, nhưng dường như là không.
dùng253751
2
@immibis Nó có thể là một từ viết tắt, chỉ có ý nghĩa đối với các tác giả. các DMZbit là một từ viết tắt thực. shcó thể có nghĩa là "vỏ" và eycó thể là "mắt" mà không có "e", nhưng tôi chỉ đang suy đoán.
Kusalananda
14
@Kusalananda Tôi muốn nói "Mắt không có e Shell CJ Khu phi quân sự g" trojan, không phải là một tên xấu tho.
The-Vinh VO
11
@ The-VinhVO Thực sự lăn lưỡi
Dason
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.