Dans un VM sur un fournisseur de cloud, je vois un processus avec un nom aléatoire étrange. Il consomme des ressources réseau et CPU importantes.
Voici à quoi ressemble le processus depuis la vue pstree
:
systemd(1)───eyshcjdmzg(37775)─┬─{eyshcjdmzg}(37782)
├─{eyshcjdmzg}(37783)
└─{eyshcjdmzg}(37784)
Je me suis attaché au processus en utilisant strace -p PID
. Voici la sortie que j'ai: https://Gist.github.com/gmile/eb34d262012afeea82af1c21713b1be9 .
Tuer le processus ne fonctionne pas. Il est en quelque sorte (via systemd?) Ressuscité. Voici à quoi cela ressemble du point de vue systemd ( notez l'adresse IP étrange en bas):
$ systemctl status 37775
● session-60.scope - Session 60 of user root
Loaded: loaded
Transient: yes
Drop-In: /run/systemd/system/session-60.scope.d
└─50-After-systemd-logind\x2eservice.conf, 50-After-systemd-user-sessions\x2eservice.conf, 50-Description.conf, 50-SendSIGHUP.conf, 50-Slice.conf, 50-TasksMax.conf
Active: active (abandoned) since Tue 2018-03-06 10:42:51 EET; 1 day 1h ago
Tasks: 14
Memory: 155.4M
CPU: 18h 56min 4.266s
CGroup: /user.slice/user-0.slice/session-60.scope
├─37775 cat resolv.conf
├─48798 cd /etc
├─48799 sh
├─48804 who
├─48806 ifconfig eth0
├─48807 netstat -an
├─48825 cd /etc
├─48828 id
├─48831 ps -ef
├─48833 grep "A"
└─48834 whoami
Mar 06 10:42:51 k8s-master systemd[1]: Started Session 60 of user root.
Mar 06 10:43:27 k8s-master sshd[37594]: Received disconnect from 23.27.74.92 port 59964:11:
Mar 06 10:43:27 k8s-master sshd[37594]: Disconnected from 23.27.74.92 port 59964
Mar 06 10:43:27 k8s-master sshd[37594]: pam_unix(sshd:session): session closed for user root
Que se passe-t-il?!
eyshcjdmzg
est un cheval de Troie DDoS Linux (facile à trouver grâce à une recherche Google). Vous avez probablement été piraté.
Mettez ce serveur hors ligne maintenant. Ce n'est plus le vôtre.
Veuillez lire attentivement le Q/R ServerFault suivant: Comment gérer un serveur compromis .
Notez que selon qui vous êtes et où vous vous trouvez, vous pouvez en outre être légalement obligé de signaler cet incident aux autorités. C'est le cas si vous travaillez dans une agence gouvernementale en Suède (par exemple une université), par exemple.
En relation:
Oui. Une recherche Google pour eyshcjdmzg indique que votre serveur a été compromis.
Voir Comment gérer un serveur compromis? pour savoir quoi faire à ce sujet (en bref, effacer le système et réinstaller à partir de zéro - vous ne pouvez rien y faire confiance. J'espère que vous avez sauvegardes de données importantes et de fichiers de configuration)