클라우드 공급자의 가상 머신에서 이상한 임의의 이름을 가진 프로세스를 발견했습니다. 네트워크와 CPU 리소스를 많이 소모합니다.
pstree보기에서 프로세스는 다음과 같습니다.
systemd(1)───eyshcjdmzg(37775)─┬─{eyshcjdmzg}(37782)
├─{eyshcjdmzg}(37783)
└─{eyshcjdmzg}(37784)
나는 프로세스에 연결을 사용합니다 strace -p PID. 이것은 내가 얻는 결과입니다.https://gist.github.com/gmile/eb34d262012afeea82af1c21713b1be9.
프로세스를 종료해도 작동하지 않습니다. 어떻게 든 부활했습니다 (systemd를 통해?). 이것이 systemd의 관점에서 본 모습입니다(이상한 IP 주소를 조심하세요하단):
$ systemctl status 37775
● session-60.scope - Session 60 of user root
Loaded: loaded
Transient: yes
Drop-In: /run/systemd/system/session-60.scope.d
└─50-After-systemd-logind\x2eservice.conf, 50-After-systemd-user-sessions\x2eservice.conf, 50-Description.conf, 50-SendSIGHUP.conf, 50-Slice.conf, 50-TasksMax.conf
Active: active (abandoned) since Tue 2018-03-06 10:42:51 EET; 1 day 1h ago
Tasks: 14
Memory: 155.4M
CPU: 18h 56min 4.266s
CGroup: /user.slice/user-0.slice/session-60.scope
├─37775 cat resolv.conf
├─48798 cd /etc
├─48799 sh
├─48804 who
├─48806 ifconfig eth0
├─48807 netstat -an
├─48825 cd /etc
├─48828 id
├─48831 ps -ef
├─48833 grep "A"
└─48834 whoami
Mar 06 10:42:51 k8s-master systemd[1]: Started Session 60 of user root.
Mar 06 10:43:27 k8s-master sshd[37594]: Received disconnect from 23.27.74.92 port 59964:11:
Mar 06 10:43:27 k8s-master sshd[37594]: Disconnected from 23.27.74.92 port 59964
Mar 06 10:43:27 k8s-master sshd[37594]: pam_unix(sshd:session): session closed for user root
무슨 일이야? !
답변1
eyshcjdmzgLinux DDoS 트로이 목마입니다(Google 검색을 통해 쉽게 찾을 수 있음). 해킹당했을 수도 있습니다.
이제 서버를 오프라인으로 전환하세요. 그것은 더 이상 당신의 것이 아닙니다.
다음 ServerFault Q/A를 주의 깊게 읽어보세요.감염된 서버를 처리하는 방법.
귀하의 신원과 위치에 따라 사건을 당국에 신고해야 할 법적 의무가 있을 수도 있습니다. 예를 들어, 대학과 같은 스웨덴 정부 기관에서 일하는 경우가 이에 해당합니다.
관련된:
답변2
예. 구글해봐이쉬치뎀지그서버가 손상되었음을 나타냅니다.
바라보다감염된 서버를 처리하는 방법은 무엇입니까?이에 대해 어떻게 해야 할까요(간단히 말하면 시스템을 지우고 처음부터 다시 설치하는 것입니다. 아무것도 믿을 수 없습니다. 중요한 데이터와 구성 파일을 백업해 두시기 바랍니다)