web-dev-qa-db-fra.com

Processus avec un nom aléatoire étrange consommant des ressources réseau et CPU importantes. Est-ce que quelqu'un me pirate?

Dans un VM sur un fournisseur de cloud, je vois un processus avec un nom aléatoire étrange. Il consomme des ressources réseau et CPU importantes.

Voici à quoi ressemble le processus depuis la vue pstree:

systemd(1)───eyshcjdmzg(37775)─┬─{eyshcjdmzg}(37782)
                               ├─{eyshcjdmzg}(37783)
                               └─{eyshcjdmzg}(37784)

Je me suis attaché au processus en utilisant strace -p PID. Voici la sortie que j'ai: https://Gist.github.com/gmile/eb34d262012afeea82af1c21713b1be9 .

Tuer le processus ne fonctionne pas. Il est en quelque sorte (via systemd?) Ressuscité. Voici à quoi cela ressemble du point de vue systemd ( notez l'adresse IP étrange en bas):

$ systemctl status 37775
● session-60.scope - Session 60 of user root
   Loaded: loaded
Transient: yes
  Drop-In: /run/systemd/system/session-60.scope.d
           └─50-After-systemd-logind\x2eservice.conf, 50-After-systemd-user-sessions\x2eservice.conf, 50-Description.conf, 50-SendSIGHUP.conf, 50-Slice.conf, 50-TasksMax.conf
   Active: active (abandoned) since Tue 2018-03-06 10:42:51 EET; 1 day 1h ago
    Tasks: 14
   Memory: 155.4M
      CPU: 18h 56min 4.266s
   CGroup: /user.slice/user-0.slice/session-60.scope
           ├─37775 cat resolv.conf
           ├─48798 cd /etc
           ├─48799 sh
           ├─48804 who
           ├─48806 ifconfig eth0
           ├─48807 netstat -an
           ├─48825 cd /etc
           ├─48828 id
           ├─48831 ps -ef
           ├─48833 grep "A"
           └─48834 whoami

Mar 06 10:42:51 k8s-master systemd[1]: Started Session 60 of user root.
Mar 06 10:43:27 k8s-master sshd[37594]: Received disconnect from 23.27.74.92 port 59964:11:
Mar 06 10:43:27 k8s-master sshd[37594]: Disconnected from 23.27.74.92 port 59964
Mar 06 10:43:27 k8s-master sshd[37594]: pam_unix(sshd:session): session closed for user root

Que se passe-t-il?!

70
gmile

eyshcjdmzg est un cheval de Troie DDoS Linux (facile à trouver grâce à une recherche Google). Vous avez probablement été piraté.

Mettez ce serveur hors ligne maintenant. Ce n'est plus le vôtre.

Veuillez lire attentivement le Q/R ServerFault suivant: Comment gérer un serveur compromis .

Notez que selon qui vous êtes et où vous vous trouvez, vous pouvez en outre être légalement obligé de signaler cet incident aux autorités. C'est le cas si vous travaillez dans une agence gouvernementale en Suède (par exemple une université), par exemple.

En relation:

138
Kusalananda

Oui. Une recherche Google pour eyshcjdmzg indique que votre serveur a été compromis.

Voir Comment gérer un serveur compromis? pour savoir quoi faire à ce sujet (en bref, effacer le système et réinstaller à partir de zéro - vous ne pouvez rien y faire confiance. J'espère que vous avez sauvegardes de données importantes et de fichiers de configuration)

25
cas