Elaborazione con un nome casuale strano che consuma significative risorse di rete e CPU. Qualcuno mi sta hackerando?

69

In una macchina virtuale su un provider cloud, sto vedendo un processo con strano nome casuale. Consuma significative risorse di rete e CPU.

Ecco come appare il processo dalla pstreevista:

systemd(1)───eyshcjdmzg(37775)─┬─{eyshcjdmzg}(37782)
                               ├─{eyshcjdmzg}(37783)
                               └─{eyshcjdmzg}(37784)

Ho attaccato al processo usando strace -p PID. Ecco l'output che ho: https://gist.github.com/gmile/eb34d262012afeea82af1c21713b1be9 .

Uccidere il processo non funziona. È in qualche modo (tramite systemd?) Risorto. Ecco come appare dal punto di vista di systemd ( notare lo strano indirizzo IP in basso):

$ systemctl status 37775
● session-60.scope - Session 60 of user root
   Loaded: loaded
Transient: yes
  Drop-In: /run/systemd/system/session-60.scope.d
           └─50-After-systemd-logind\x2eservice.conf, 50-After-systemd-user-sessions\x2eservice.conf, 50-Description.conf, 50-SendSIGHUP.conf, 50-Slice.conf, 50-TasksMax.conf
   Active: active (abandoned) since Tue 2018-03-06 10:42:51 EET; 1 day 1h ago
    Tasks: 14
   Memory: 155.4M
      CPU: 18h 56min 4.266s
   CGroup: /user.slice/user-0.slice/session-60.scope
           ├─37775 cat resolv.conf
           ├─48798 cd /etc
           ├─48799 sh
           ├─48804 who
           ├─48806 ifconfig eth0
           ├─48807 netstat -an
           ├─48825 cd /etc
           ├─48828 id
           ├─48831 ps -ef
           ├─48833 grep "A"
           └─48834 whoami

Mar 06 10:42:51 k8s-master systemd[1]: Started Session 60 of user root.
Mar 06 10:43:27 k8s-master sshd[37594]: Received disconnect from 23.27.74.92 port 59964:11:
Mar 06 10:43:27 k8s-master sshd[37594]: Disconnected from 23.27.74.92 port 59964
Mar 06 10:43:27 k8s-master sshd[37594]: pam_unix(sshd:session): session closed for user root

Cosa sta succedendo?!

centos  systemd  process 
gmile
fonte
48
La risposta a "Qualcuno mi sta hackerando?" è sempre "Sì", la vera domanda è "Qualcuno è riuscito a hackerarmi?".
ChuckCottrill
9
la parola è "cracking" o "penetrating", o "
requisition
6
@ can-ned_food Me l'hanno detto circa 15 anni fa. Mi ci è voluto un po 'per capire che la distinzione è un mucchio di hogwash e "hacking" significa assolutamente la stessa cosa. Anche se non era così nel 1980, la lingua è sicuramente cambiata abbastanza da adesso.
jpmc26
1
@ jpmc26 Da quanto ho capito, Hacking è il termine più ampio: un hacker è anche un vecchio programmatore che lavora con il codice sciatto di qualcun altro.
can-ned_food
1
@ can-ned_food Può essere usato in questo modo, ma è molto più comunemente usato per descrivere accessi non autorizzati. È quasi sempre chiaro dal contesto cosa si intende.
jpmc26

Risposte:

138

eyshcjdmzgè un trojan DDoS Linux (facilmente reperibile tramite una ricerca su Google). Probabilmente sei stato violato.

Porta quel server offline. Non è più tuo.

Leggere attentamente il seguente Q / A ServerFault: Come gestire un server compromesso .

Tieni presente che, a seconda di chi sei e di dove ti trovi, potresti inoltre essere legalmente obbligato a denunciare questo incidente alle autorità. Questo è il caso, ad esempio, se lavori in un'agenzia governativa in Svezia (ad esempio un'università).

Relazionato:

Kusalananda
fonte
2
Se si servono i clienti olandesi anche, e si memorizzano le informazioni personali (indirizzi IP, e-mail, nomi, lista della spesa, info sulle carte di credito, password) è necessario segnalarlo a datalekken.autoriteitpersoonsgegevens.nl/actionpage?0
Tschallacka
@tschallacka sicuramente l'indirizzo IP da solo non è considerato PII? Praticamente ogni Webserver in qualsiasi luogo memorizza gli indirizzi IP nei suoi registri di accesso
Darren H
@DarrenH Suppongo che coprirebbe "dati che possono essere utilizzati per identificare una persona" ecc. I registri di solito non sono visti come questo tipo di dati AFAIK, ma potrebbe essere diverso se un indirizzo IP viene archiviato esplicitamente in un database come parte di un record di account.
Kusalananda
Questo ha senso. Grazie per il chiarimento
Darren H
Nei Paesi Bassi ci viene richiesto di mascherare tutti gli ottetti prima di inviarli a Google perché l'intero intervallo rientra nelle informazioni personali, perché può essere incrociato con altri record. Un hacker potrebbe eseguire il controllo incrociato con altri registri per tenere traccia delle tue attività. Quindi sì, le sue informazioni persali complete come un vero indirizzo
Tschallacka,
25

Sì. Una ricerca su Google per eyshcjdmzg indica che il tuo server è stato compromesso.

Vedi Come gestisco un server compromesso? per cosa fare al riguardo (in breve, cancella il sistema e reinstalla da zero - non puoi fidarti di nulla su di esso. Spero che tu abbia backup di dati importanti e file di configurazione)

cas
fonte
20
Penseresti che si preoccuperebbero di randomizzare il nome su ciascun sistema infetto, ma apparentemente no.
user253751
2
@immibis Potrebbe essere un'abbreviazione, significativa solo per gli autori. il DMZbit è un vero acronimo. shpotrebbe significare "shell" e eypotrebbe essere "occhio" senza la "e", ma sto solo ipotizzando.
Kusalananda
14
@Kusalananda Direi "Trojan occhio senza Shell CJ zona demilitarizzata", non un brutto nome.
The-Vinh VO
11
@ The-VinhVO Rotola davvero la lingua
Dason
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.