클라우드 공급자의 VM에서 이상한 임의 이름을 가진 프로세스가 나타납니다. 상당한 네트워크 및 CPU 리소스를 소비합니다.
프로세스의 모습은 다음과 같습니다 pstree.
systemd(1)───eyshcjdmzg(37775)─┬─{eyshcjdmzg}(37782)
├─{eyshcjdmzg}(37783)
└─{eyshcjdmzg}(37784)
을 사용하여 프로세스에 첨부했습니다 strace -p PID. 내가 가진 결과는 다음과 같습니다. https://gist.github.com/gmile/eb34d262012afeea82af1c21713b1be9 .
프로세스 종료가 작동하지 않습니다. 어떻게 든 (시스템을 통해?) 부활합니다. 시스템 관점에서 본 모습은 다음과 같습니다 ( 하단에 이상한 IP 주소 가 있음).
$ systemctl status 37775
● session-60.scope - Session 60 of user root
Loaded: loaded
Transient: yes
Drop-In: /run/systemd/system/session-60.scope.d
└─50-After-systemd-logind\x2eservice.conf, 50-After-systemd-user-sessions\x2eservice.conf, 50-Description.conf, 50-SendSIGHUP.conf, 50-Slice.conf, 50-TasksMax.conf
Active: active (abandoned) since Tue 2018-03-06 10:42:51 EET; 1 day 1h ago
Tasks: 14
Memory: 155.4M
CPU: 18h 56min 4.266s
CGroup: /user.slice/user-0.slice/session-60.scope
├─37775 cat resolv.conf
├─48798 cd /etc
├─48799 sh
├─48804 who
├─48806 ifconfig eth0
├─48807 netstat -an
├─48825 cd /etc
├─48828 id
├─48831 ps -ef
├─48833 grep "A"
└─48834 whoami
Mar 06 10:42:51 k8s-master systemd[1]: Started Session 60 of user root.
Mar 06 10:43:27 k8s-master sshd[37594]: Received disconnect from 23.27.74.92 port 59964:11:
Mar 06 10:43:27 k8s-master sshd[37594]: Disconnected from 23.27.74.92 port 59964
Mar 06 10:43:27 k8s-master sshd[37594]: pam_unix(sshd:session): session closed for user root
무슨 일이야?!
답변
eyshcjdmzgLinux DDoS 트로이 목마 (Google 검색을 통해 쉽게 찾을 수 있음)입니다. 해킹되었을 수 있습니다.
그 서버를 지금 오프라인으로 가져 가십시오. 더 이상 당신이 아닙니다.
다음 ServerFault Q / A를주의해서 읽으십시오 . 손상된 서버를 처리하는 방법 .
자신의 현재 위치와 위치에 따라이 사건을 당국에보고해야 할 법적 의무가있을 수 있습니다. 예를 들어 스웨덴의 정부 기관 (예 : 대학교)에서 근무하는 경우입니다.
관련 :
답변
예. eyshcjdmzg에 대한 Google 검색은 서버가 손상되었음을 나타냅니다.
손상된 서버를 어떻게 처리합니까?를 참조하십시오 . 그것에 대해 무엇을 해야하는지 (간단히 말하면, 시스템을 지우고 처음부터 다시 설치하십시오-당신은 아무것도 믿을 수 없습니다. 중요한 데이터와 구성 파일의 백업이 있기를 바랍니다)