Processus avec un nom aléatoire étrange qui consomme d’importantes ressources réseau et CPU. Est-ce que quelqu'un me pirate?

69

Dans une machine virtuelle sur un fournisseur de cloud, je vois un processus avec un nom aléatoire étrange. Il consomme beaucoup de ressources réseau et CPU.

Voici à quoi ressemble le processus pstreevu de la vue:

systemd(1)───eyshcjdmzg(37775)─┬─{eyshcjdmzg}(37782)
                               ├─{eyshcjdmzg}(37783)
                               └─{eyshcjdmzg}(37784)

J'ai attaché au processus en utilisant strace -p PID. Voici le résultat que j'ai: https://gist.github.com/gmile/eb34d262012afeea82af1c21713b1be9 .

Tuer le processus ne fonctionne pas. Il est en quelque sorte (via systemd?) Ressuscité. Voici à quoi cela ressemble du point de vue de systemd ( notez l’adresse IP bizarre en bas):

$ systemctl status 37775
● session-60.scope - Session 60 of user root
   Loaded: loaded
Transient: yes
  Drop-In: /run/systemd/system/session-60.scope.d
           └─50-After-systemd-logind\x2eservice.conf, 50-After-systemd-user-sessions\x2eservice.conf, 50-Description.conf, 50-SendSIGHUP.conf, 50-Slice.conf, 50-TasksMax.conf
   Active: active (abandoned) since Tue 2018-03-06 10:42:51 EET; 1 day 1h ago
    Tasks: 14
   Memory: 155.4M
      CPU: 18h 56min 4.266s
   CGroup: /user.slice/user-0.slice/session-60.scope
           ├─37775 cat resolv.conf
           ├─48798 cd /etc
           ├─48799 sh
           ├─48804 who
           ├─48806 ifconfig eth0
           ├─48807 netstat -an
           ├─48825 cd /etc
           ├─48828 id
           ├─48831 ps -ef
           ├─48833 grep "A"
           └─48834 whoami

Mar 06 10:42:51 k8s-master systemd[1]: Started Session 60 of user root.
Mar 06 10:43:27 k8s-master sshd[37594]: Received disconnect from 23.27.74.92 port 59964:11:
Mar 06 10:43:27 k8s-master sshd[37594]: Disconnected from 23.27.74.92 port 59964
Mar 06 10:43:27 k8s-master sshd[37594]: pam_unix(sshd:session): session closed for user root

Que se passe-t-il?!

gmile
la source
48
La réponse à "Est-ce que quelqu'un me pirate?" est toujours "Oui", la vraie question est "Est-ce que quelqu'un a réussi à me pirater?".
ChuckCottrill
9
le mot est 'cracking' ou 'pénétrant', ou 'réquisitionnant', pas nécessairement 'piratage'
can-ned_food
6
@ can-ned_food On m'a dit qu'il y a environ 15 ans. Il m'a fallu un certain temps pour comprendre que la distinction est un tas de foutaises et que le "piratage" signifie absolument la même chose. Même si ce n'était pas le cas en 1980, le langage a certainement suffisamment changé qu'il l'est maintenant.
jpmc26
1
@ jpmc26 D'après ce que j'ai compris, le piratage est le terme le plus large: un hacker est aussi un programmeur qui travaille avec le code bâclé de quelqu'un d'autre.
can-ned_food
1
@ can-ned_food Il peut être utilisé de cette façon, mais il est beaucoup plus couramment utilisé pour décrire un accès non autorisé. Le contexte indique presque toujours ce que cela signifie.
jpmc26

Réponses:

138

eyshcjdmzgest un cheval de Troie Linux DDoS (facile à trouver grâce à une recherche Google). Vous avez probablement été piraté.

Mettez ce serveur hors ligne maintenant. Ce n'est plus à toi.

Veuillez lire attentivement le Q / R ServerFault suivant: Comment traiter avec un serveur compromis .

Notez qu'en fonction de qui vous êtes et de l'endroit où vous vous trouvez, vous pouvez également être légalement tenu de signaler cet incident aux autorités. C'est le cas si vous travaillez dans un organisme gouvernemental en Suède (par exemple une université), par exemple.

Apparenté, relié, connexe:

Kusalananda
la source
2
Si vous servez également des clients néerlandais et que vous stockez des informations personnelles (adresses IP, emails, noms, liste d'achats, informations de carte de crédit, mots de passe), vous devez les signaler à datalekken.autoriteitpersoonsgegevens.nl/actionpage?0
Tschallacka
@tschallacka sûrement que l'adresse IP n'est pas considérée comme une PII? Presque tous les serveurs Web stockent des adresses IP dans ses journaux d'accès, où qu'ils se trouvent
Darren H
@DarrenH Je suppose que cela couvrirait les «données pouvant être utilisées pour identifier une personne», etc. Les journaux ne sont généralement pas vus comme ce type de données selon les critères AFAIK, mais cela peut être différent si une adresse IP est explicitement stockée dans une base de données. dans le cadre d'un enregistrement de compte.
Kusalananda
Ça a du sens. Merci pour la clarification
Darren H
Aux Pays-Bas, nous devons masquer tous les octets avant d’envoyer à Google, car toute la plage relève des informations personnelles, car elle peut être vérifiée avec d’autres enregistrements. Un pirate informatique pourrait recouper d'autres journaux pour suivre vos activités. Donc, oui, ses informations personnelles complètes comme une adresse réelle
Tschallacka
25

Oui. Une recherche google sur eyshcjdmzg indique que votre serveur a été compromis.

Voir Comment gérer un serveur compromis? pour savoir quoi faire à ce sujet (en bref, nettoyez le système et réinstallez-le à partir de rien - vous ne pouvez vous fier à rien dessus. J'espère que vous avez des sauvegardes de données importantes et des fichiers de configuration).

cas
la source
20
On pourrait penser qu’ils prendraient la peine de randomiser le nom sur chaque système infecté, mais apparemment pas.
user253751
2
@immibis C'est peut-être une abréviation qui n'a de sens que pour les auteurs. le DMZbit est un vrai acronyme. shpourrait signifier "shell" et eypeut être "œil" sans le "e", mais je ne fais que spéculer.
Kusalananda
14
@Kusalananda Je dirais "Eye sans Shell Shell, zone démilitarisée g", un cheval de Troie pas mal nommé.
The-Vinh VO
11
@ The-VinhVO tire vraiment la langue
Dason