Dalam VM di penyedia cloud, saya melihat proses dengan nama acak yang aneh. Mengkonsumsi sumber daya jaringan dan CPU yang signifikan.
Beginilah prosesnya dari pstree
tampilan:
systemd(1)───eyshcjdmzg(37775)─┬─{eyshcjdmzg}(37782)
├─{eyshcjdmzg}(37783)
└─{eyshcjdmzg}(37784)
Saya melekat pada proses menggunakan strace -p PID
. Inilah hasil yang saya dapatkan: https://gist.github.com/gmile/eb34d262012afeea82af1c21713b1be9 .
Membunuh prosesnya tidak berhasil. Itu entah bagaimana (via systemd?) Dibangkitkan. Begini tampilannya dari sudut pandang systemd ( perhatikan alamat IP aneh di bagian bawah):
$ systemctl status 37775
● session-60.scope - Session 60 of user root
Loaded: loaded
Transient: yes
Drop-In: /run/systemd/system/session-60.scope.d
└─50-After-systemd-logind\x2eservice.conf, 50-After-systemd-user-sessions\x2eservice.conf, 50-Description.conf, 50-SendSIGHUP.conf, 50-Slice.conf, 50-TasksMax.conf
Active: active (abandoned) since Tue 2018-03-06 10:42:51 EET; 1 day 1h ago
Tasks: 14
Memory: 155.4M
CPU: 18h 56min 4.266s
CGroup: /user.slice/user-0.slice/session-60.scope
├─37775 cat resolv.conf
├─48798 cd /etc
├─48799 sh
├─48804 who
├─48806 ifconfig eth0
├─48807 netstat -an
├─48825 cd /etc
├─48828 id
├─48831 ps -ef
├─48833 grep "A"
└─48834 whoami
Mar 06 10:42:51 k8s-master systemd[1]: Started Session 60 of user root.
Mar 06 10:43:27 k8s-master sshd[37594]: Received disconnect from 23.27.74.92 port 59964:11:
Mar 06 10:43:27 k8s-master sshd[37594]: Disconnected from 23.27.74.92 port 59964
Mar 06 10:43:27 k8s-master sshd[37594]: pam_unix(sshd:session): session closed for user root
Apa yang sedang terjadi?!
Jawaban:
eyshcjdmzg
adalah trojan Linux DDoS (mudah ditemukan melalui pencarian Google). Anda kemungkinan diretas.Ambil server itu off-line sekarang. Itu bukan milikmu lagi.
Baca ServerFault T / A berikut dengan seksama: Cara menangani server yang disusupi .
Perhatikan bahwa tergantung pada siapa Anda dan di mana Anda berada, Anda juga dapat secara hukum diwajibkan untuk melaporkan kejadian ini kepada pihak berwenang. Ini kasusnya jika Anda bekerja di lembaga pemerintah di Swedia (misalnya universitas), misalnya.
Terkait:
sumber
Iya. Pencarian google untuk eyshcjdmzg menunjukkan bahwa server Anda telah disusupi.
Lihat Bagaimana cara saya menangani server yang disusupi? untuk apa yang harus dilakukan tentang itu (singkatnya, hapus sistem dan instal ulang dari awal - Anda tidak dapat mempercayai apa pun di dalamnya. Saya harap Anda memiliki cadangan data penting dan file konfigurasi)
sumber
DMZ
sedikit merupakan singkatan nyata.sh
bisa berarti "shell" daney
mungkin "mata" tanpa "e", tapi aku hanya berspekulasi.