Proses dengan nama acak yang aneh memakan sumber daya jaringan dan CPU yang signifikan. Apakah seseorang meretas saya?

69

Dalam VM di penyedia cloud, saya melihat proses dengan nama acak yang aneh. Mengkonsumsi sumber daya jaringan dan CPU yang signifikan.

Beginilah prosesnya dari pstreetampilan:

systemd(1)───eyshcjdmzg(37775)─┬─{eyshcjdmzg}(37782)
                               ├─{eyshcjdmzg}(37783)
                               └─{eyshcjdmzg}(37784)

Saya melekat pada proses menggunakan strace -p PID. Inilah hasil yang saya dapatkan: https://gist.github.com/gmile/eb34d262012afeea82af1c21713b1be9 .

Membunuh prosesnya tidak berhasil. Itu entah bagaimana (via systemd?) Dibangkitkan. Begini tampilannya dari sudut pandang systemd ( perhatikan alamat IP aneh di bagian bawah):

$ systemctl status 37775
● session-60.scope - Session 60 of user root
   Loaded: loaded
Transient: yes
  Drop-In: /run/systemd/system/session-60.scope.d
           └─50-After-systemd-logind\x2eservice.conf, 50-After-systemd-user-sessions\x2eservice.conf, 50-Description.conf, 50-SendSIGHUP.conf, 50-Slice.conf, 50-TasksMax.conf
   Active: active (abandoned) since Tue 2018-03-06 10:42:51 EET; 1 day 1h ago
    Tasks: 14
   Memory: 155.4M
      CPU: 18h 56min 4.266s
   CGroup: /user.slice/user-0.slice/session-60.scope
           ├─37775 cat resolv.conf
           ├─48798 cd /etc
           ├─48799 sh
           ├─48804 who
           ├─48806 ifconfig eth0
           ├─48807 netstat -an
           ├─48825 cd /etc
           ├─48828 id
           ├─48831 ps -ef
           ├─48833 grep "A"
           └─48834 whoami

Mar 06 10:42:51 k8s-master systemd[1]: Started Session 60 of user root.
Mar 06 10:43:27 k8s-master sshd[37594]: Received disconnect from 23.27.74.92 port 59964:11:
Mar 06 10:43:27 k8s-master sshd[37594]: Disconnected from 23.27.74.92 port 59964
Mar 06 10:43:27 k8s-master sshd[37594]: pam_unix(sshd:session): session closed for user root

Apa yang sedang terjadi?!

gmile
sumber
48
Jawaban untuk "Apakah seseorang meretas saya?" selalu "Ya", pertanyaan sebenarnya adalah "Apakah seseorang berhasil meretas saya?".
ChuckCottrill
9
kata 'cracking' atau 'penetrating', atau 'commandeering', tidak harus berarti 'hacking'
can-ned_food
6
@ can-ned_food Saya diberitahu itu sekitar 15 tahun yang lalu. Butuh beberapa saat untuk menyadari perbedaannya adalah omong kosong dan "peretasan" benar-benar berarti hal yang sama. Bahkan jika itu tidak terjadi pada tahun 1980, bahasa sudah cukup berubah sehingga sekarang.
jpmc26
1
@ jpmc26 Dari apa yang saya mengerti, Peretasan adalah istilah yang lebih luas: seorang peretas juga merupakan programmer yang bekerja pada kode orang lain yang ceroboh.
can-ned_food
1
@ can-ned_food Dapat digunakan seperti itu, tetapi jauh lebih umum digunakan untuk menggambarkan akses yang tidak sah. Hampir selalu jelas dari konteks apa yang dimaksud.
jpmc26

Jawaban:

138

eyshcjdmzgadalah trojan Linux DDoS (mudah ditemukan melalui pencarian Google). Anda kemungkinan diretas.

Ambil server itu off-line sekarang. Itu bukan milikmu lagi.

Baca ServerFault T / A berikut dengan seksama: Cara menangani server yang disusupi .

Perhatikan bahwa tergantung pada siapa Anda dan di mana Anda berada, Anda juga dapat secara hukum diwajibkan untuk melaporkan kejadian ini kepada pihak berwenang. Ini kasusnya jika Anda bekerja di lembaga pemerintah di Swedia (misalnya universitas), misalnya.

Terkait:

Kusalananda
sumber
2
Jika Anda juga melayani pelanggan Belanda, dan Anda menyimpan informasi pribadi (alamat ip, email, nama, daftar belanja, info kartu kredit, kata sandi), Anda perlu melaporkannya ke datalekken.autoriteitpersoonsgegevens.nl/actionpage?0
Tschallacka
@tschallacka pasti alamat IP saja tidak dianggap PII? Hampir semua server Web di mana saja menyimpan alamat IP di dalam log aksesnya
Darren H
@ DarrenH Saya berasumsi bahwa itu akan mencakup "data yang dapat digunakan untuk mengidentifikasi seseorang" dll. Log biasanya tidak dilihat sebagai jenis data AFAIK ini, tetapi mungkin berbeda jika alamat IP secara eksplisit disimpan dalam database. sebagai bagian dari catatan akun.
Kusalananda
Itu masuk akal. Terima kasih atas klarifikasi
Darren H
Di Belanda kami diharuskan menutupi semua oktet sebelum mengirim ke google karena seluruh jajaran berada di bawah informasi pribadi, karena dapat dicek ulang dengan catatan lain. Seorang hacker dapat memeriksa ulang dengan log lain untuk melacak aktivitas Anda. Jadi ya, informasi lengkap abadi seperti alamat yang sebenarnya
Tschallacka
25

Iya. Pencarian google untuk eyshcjdmzg menunjukkan bahwa server Anda telah disusupi.

Lihat Bagaimana cara saya menangani server yang disusupi? untuk apa yang harus dilakukan tentang itu (singkatnya, hapus sistem dan instal ulang dari awal - Anda tidak dapat mempercayai apa pun di dalamnya. Saya harap Anda memiliki cadangan data penting dan file konfigurasi)

cas
sumber
20
Anda akan berpikir mereka akan repot-repot mengacak nama pada setiap sistem yang terinfeksi, tetapi ternyata tidak.
user253751
2
@immibis Ini mungkin singkatan, bermakna hanya untuk penulis. yang DMZsedikit merupakan singkatan nyata. shbisa berarti "shell" dan eymungkin "mata" tanpa "e", tapi aku hanya berspekulasi.
Kusalananda
14
@ Kusalananda saya akan mengatakan "Mata tanpa e Shell CJ zona Demiliterisasi g" trojan, bukan nama yang buruk tho.
The-Vinh VO
11
@ The-VinhVO Benar-benar menggelinding dari lidah
Dason