具有奇怪随机名称的进程占用了大量网络和CPU资源。有人在砍我吗?


69

在云提供商的虚拟机中,我看到一个带有奇怪随机名称的进程。它消耗大量的网络和CPU资源。

pstree视图的角度来看,该过程是这样的:

systemd(1)───eyshcjdmzg(37775)─┬─{eyshcjdmzg}(37782)
                               ├─{eyshcjdmzg}(37783)
                               └─{eyshcjdmzg}(37784)

我使用附加了该过程strace -p PID。这是我得到的输出:https : //gist.github.com/gmile/eb34d262012afeea82af1c21713b1be9

终止进程不起作用。它以某种方式(通过systemd?)复活了。这是从systemd角度看的样子(请注意底部的怪异IP地址):

$ systemctl status 37775
● session-60.scope - Session 60 of user root
   Loaded: loaded
Transient: yes
  Drop-In: /run/systemd/system/session-60.scope.d
           └─50-After-systemd-logind\x2eservice.conf, 50-After-systemd-user-sessions\x2eservice.conf, 50-Description.conf, 50-SendSIGHUP.conf, 50-Slice.conf, 50-TasksMax.conf
   Active: active (abandoned) since Tue 2018-03-06 10:42:51 EET; 1 day 1h ago
    Tasks: 14
   Memory: 155.4M
      CPU: 18h 56min 4.266s
   CGroup: /user.slice/user-0.slice/session-60.scope
           ├─37775 cat resolv.conf
           ├─48798 cd /etc
           ├─48799 sh
           ├─48804 who
           ├─48806 ifconfig eth0
           ├─48807 netstat -an
           ├─48825 cd /etc
           ├─48828 id
           ├─48831 ps -ef
           ├─48833 grep "A"
           └─48834 whoami

Mar 06 10:42:51 k8s-master systemd[1]: Started Session 60 of user root.
Mar 06 10:43:27 k8s-master sshd[37594]: Received disconnect from 23.27.74.92 port 59964:11:
Mar 06 10:43:27 k8s-master sshd[37594]: Disconnected from 23.27.74.92 port 59964
Mar 06 10:43:27 k8s-master sshd[37594]: pam_unix(sshd:session): session closed for user root

到底是怎么回事?!


48
答案是“有人在砍我吗?” 永远是“是”,真正的问题是“有人成功入侵了我吗?”。
ChuckCottrill

8
这个词是“开裂”,“穿透”或“指挥”,不一定是“黑客”
can-ned_food

6
@ can-ned_food大约15年前被告知。我花了一段时间才意识到区别是一堆猪,“黑客”绝对是同一回事。即使在1980年并非如此,语言的变化肯定已经到现在。
jpmc26,2008年

@ jpmc26据我了解,黑客是一个广义的词:黑客也是在别人的草率代码下工作的所有程序员。
can-ned_food

1
@ can-ned_food可以用这种方式使用,但是它通常用于描述未经授权的访问。从上下文中几乎总是可以看出其含义。
jpmc26年

Answers:


138

eyshcjdmzg是Linux DDoS木马(可通过Google搜索轻松找到)。您可能被黑了。

现在使该服务器脱机。不再是你的了。

请仔细阅读以下ServerFault Q / A:如何处理受感染的服务器

请注意,根据您的身份和所在的位置,您可能还具有法律义务向有关当局报告此事件。例如,如果您在瑞典的政府机构(例如大学)工作,就是这种情况。

有关:


2
如果你提供的荷兰客户也和你保存个人信息(IP不会忽略,电子邮件,名称,购物清单,信用卡信息,密码),你需要将其报告给datalekken.autoriteitpersoonsgegevens.nl/actionpage?0
Tschallacka

@tschallacka当然不能单独将IP地址视为PII吗?几乎任何地方的每个Web服务器都在其访问日志中存储IP地址
Darren H

@DarrenH我假设它将涵盖“可用于识别一个人的数据”等。日志通常不会被视为这种类型的数据AFAIK,但是如果IP地址明确存储在数据库中,则可能会有所不同作为帐户记录的一部分。
库萨兰达

那讲得通。感谢您的澄清
达伦- ^ h

在荷兰,我们必须屏蔽所有八位位组,然后再发送给Google,因为整个范围都属于个人信息,因为可以与其他记录进行交叉检查。黑客可能会交叉检查其他日志以跟踪您的活动。所以,是的,其完整的persal信息像实际的地址一样
Tschallacka

25

是。谷歌搜索eyshcjdmzg表示您的服务器已被盗用

请参阅如何处理受到感染的服务器?该怎么做(简而言之,擦除系统并从头开始重新安装-您对此不信任。我希望您有重要数据和配置文件的备份)


20
您可能会认为他们会在每个受感染的系统上随意分配名称,但显然不会。
immibis

2
@immibis可能是缩写,仅对作者有意义。该DMZ位是真正的缩写。sh可能表示“外壳”,ey可能是没有“ e”的“眼睛”,但我只是在推测。
库萨兰达

14
@Kusalananda我会说“没有e Shell CJ非军事区g的眼睛”木马,这不是一个不好的名字。
The-Vinh VO

11
@该-VinhVO真的滚卷离开所述舌
达诚
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.