具有奇怪随机名称的进程占用了大量网络和CPU资源。有人在砍我吗？

在云提供商的虚拟机中，我看到一个带有奇怪随机名称的进程。它消耗大量的网络和CPU资源。

从pstree视图的角度来看，该过程是这样的：

systemd(1)───eyshcjdmzg(37775)─┬─{eyshcjdmzg}(37782)
                               ├─{eyshcjdmzg}(37783)
                               └─{eyshcjdmzg}(37784)

我使用附加了该过程strace -p PID。这是我得到的输出：https : //gist.github.com/gmile/eb34d262012afeea82af1c21713b1be9。

终止进程不起作用。它以某种方式（通过systemd？）复活了。这是从systemd角度看的样子（请注意底部的怪异IP地址）：

$ systemctl status 37775
● session-60.scope - Session 60 of user root
   Loaded: loaded
Transient: yes
  Drop-In: /run/systemd/system/session-60.scope.d
           └─50-After-systemd-logind\x2eservice.conf, 50-After-systemd-user-sessions\x2eservice.conf, 50-Description.conf, 50-SendSIGHUP.conf, 50-Slice.conf, 50-TasksMax.conf
   Active: active (abandoned) since Tue 2018-03-06 10:42:51 EET; 1 day 1h ago
    Tasks: 14
   Memory: 155.4M
      CPU: 18h 56min 4.266s
   CGroup: /user.slice/user-0.slice/session-60.scope
           ├─37775 cat resolv.conf
           ├─48798 cd /etc
           ├─48799 sh
           ├─48804 who
           ├─48806 ifconfig eth0
           ├─48807 netstat -an
           ├─48825 cd /etc
           ├─48828 id
           ├─48831 ps -ef
           ├─48833 grep "A"
           └─48834 whoami

Mar 06 10:42:51 k8s-master systemd[1]: Started Session 60 of user root.
Mar 06 10:43:27 k8s-master sshd[37594]: Received disconnect from 23.27.74.92 port 59964:11:
Mar 06 10:43:27 k8s-master sshd[37594]: Disconnected from 23.27.74.92 port 59964
Mar 06 10:43:27 k8s-master sshd[37594]: pam_unix(sshd:session): session closed for user root

到底是怎么回事？！

eyshcjdmzg是Linux DDoS木马（可通过Google搜索轻松找到）。您可能被黑了。

现在使该服务器脱机。不再是你的了。

请仔细阅读以下ServerFault Q / A：如何处理受感染的服务器。

请注意，根据您的身份和所在的位置，您可能还具有法律义务向有关当局报告此事件。例如，如果您在瑞典的政府机构（例如大学）工作，就是这种情况。

有关：

• 如何杀死AWS EC2实例上的地雷恶意软件？（受损的服务器）
• 需要帮助来了解可疑的SSH命令

是。谷歌搜索eyshcjdmzg表示您的服务器已被盗用。

请参阅如何处理受到感染的服务器？该怎么做（简而言之，擦除系统并从头开始重新安装-您对此不信任。我希望您有重要数据和配置文件的备份）