Processo com nome aleatório estranho, consumindo recursos significativos de rede e CPU. Alguém está me invadindo?

69

Em uma VM em um provedor de nuvem, estou vendo um processo com nome aleatório estranho. Consome recursos significativos de rede e CPU.

Veja como é o processo da pstreevisualização:

systemd(1)───eyshcjdmzg(37775)─┬─{eyshcjdmzg}(37782)
                               ├─{eyshcjdmzg}(37783)
                               └─{eyshcjdmzg}(37784)

Anexei ao processo usando strace -p PID. Aqui está a saída que eu tenho: https://gist.github.com/gmile/eb34d262012afeea82af1c21713b1be9 .

Matar o processo não funciona. De alguma forma (via systemd?) Ressuscitou. Veja como fica do ponto de vista do systemd ( observe o endereço IP estranho na parte inferior):

$ systemctl status 37775
● session-60.scope - Session 60 of user root
   Loaded: loaded
Transient: yes
  Drop-In: /run/systemd/system/session-60.scope.d
           └─50-After-systemd-logind\x2eservice.conf, 50-After-systemd-user-sessions\x2eservice.conf, 50-Description.conf, 50-SendSIGHUP.conf, 50-Slice.conf, 50-TasksMax.conf
   Active: active (abandoned) since Tue 2018-03-06 10:42:51 EET; 1 day 1h ago
    Tasks: 14
   Memory: 155.4M
      CPU: 18h 56min 4.266s
   CGroup: /user.slice/user-0.slice/session-60.scope
           ├─37775 cat resolv.conf
           ├─48798 cd /etc
           ├─48799 sh
           ├─48804 who
           ├─48806 ifconfig eth0
           ├─48807 netstat -an
           ├─48825 cd /etc
           ├─48828 id
           ├─48831 ps -ef
           ├─48833 grep "A"
           └─48834 whoami

Mar 06 10:42:51 k8s-master systemd[1]: Started Session 60 of user root.
Mar 06 10:43:27 k8s-master sshd[37594]: Received disconnect from 23.27.74.92 port 59964:11:
Mar 06 10:43:27 k8s-master sshd[37594]: Disconnected from 23.27.74.92 port 59964
Mar 06 10:43:27 k8s-master sshd[37594]: pam_unix(sshd:session): session closed for user root

O que está acontecendo?!

gmile
fonte
48
A resposta para "Alguém está me invadindo?" sempre é "Sim", a verdadeira questão é "Alguém conseguiu me hackear?".
ChuckCottrill
9
a palavra é 'cracking' ou 'penetrating', ou 'commandeering', não necessariamente 'hacking'
can-ned_food
6
@ can-ned_food Me disseram isso há cerca de 15 anos. Levei um tempo para perceber que a distinção é um monte de besteira e "hacking" significa absolutamente a mesma coisa. Mesmo que não fosse esse o caso em 1980, a linguagem certamente mudou o suficiente para ser agora.
Jpmc26 10/0318
11
@ jpmc26 Pelo que entendi, Hacking é o termo mais amplo: um hacker também é qualquer programador que trabalha com o código desleixado de outra pessoa.
pode-ned_food
11
@ can-ned_food Ele pode ser usado dessa maneira, mas é muito mais comumente usado para descrever o acesso não autorizado. É quase sempre claro do contexto o que se entende.
jpmc26

Respostas:

138

eyshcjdmzgé um Trojan DDoS Linux (facilmente encontrado através de uma pesquisa no Google). Você provavelmente foi hackeado.

Coloque esse servidor offline agora. Não é mais seu.

Leia com atenção o seguinte ServerFault Q / A com cuidado: Como lidar com um servidor comprometido .

Observe que, dependendo de quem você é e de onde é, você também pode ser legalmente obrigado a relatar esse incidente às autoridades. Este é o caso se você estiver trabalhando em uma agência governamental na Suécia (por exemplo, uma universidade), por exemplo.

Relacionado:

Kusalananda
fonte
2
Se você também atende clientes holandeses e armazena informações pessoais (endereços IP, e-mails, nomes, lista de compras, informações de cartão de crédito, senhas), é necessário denunciá-las para datalekken.autoriteitpersoonsgegevens.nl/actionpage?0
Tschallacka
@tschallacka certamente o endereço IP sozinho não é considerado PII? Praticamente todos os Webserver em qualquer lugar armazena endereços IP em um de seus logs de acesso
Darren H
@DarrenH Estou assumindo que cobriria "dados que podem ser usados ​​para identificar uma pessoa" etc. Os logs geralmente não são vistos como esse tipo de dado AFAIK, mas pode ser diferente se um endereço IP for explicitamente armazenado em um banco de dados como parte de um registro de conta.
Kusalananda
Isso faz sentido. Graças para o esclarecimento
Darren H
Na Holanda, somos obrigados a mascarar todos os octetos antes de enviá-los para o Google, porque todo o intervalo se enquadra nas informações pessoais, porque podem ser verificadas com outros registros. Um hacker pode verificar com outros logs para rastrear suas atividades. Então, sim, suas informações Persal completo como um endereço real
Tschallacka
25

Sim. Uma pesquisa no google por eyshcjdmzg indica que seu servidor foi comprometido.

Consulte Como faço para lidar com um servidor comprometido? sobre o que fazer sobre isso (em resumo, limpe o sistema e reinstale-o do zero - você não pode confiar em nada nele. Espero que você tenha backups de dados e arquivos de configuração importantes)

cas
fonte
20
Você pensaria que eles se incomodariam em aleatoriamente o nome em cada sistema infectado, mas aparentemente não.
user253751
2
@immibis Pode ser uma abreviação, significativa apenas para os autores. o DMZbit é um acrônimo real. shpode significar "concha" e eypode ser "olho" sem o "e", mas estou apenas especulando.
Kusalananda
14
@Kusalananda Eu diria "Olho sem e Shell CJ zona desmilitarizada g" trojan, não é um nome ruim.
The-Vinh VO
11
@ A-VinhVO Realmente sai da língua
Dason