클라우드 공급자의 VM에서 이상한 임의 이름을 가진 프로세스가 나타납니다. 상당한 네트워크 및 CPU 리소스를 소비합니다.
프로세스의 모습은 다음과 같습니다 pstree
.
systemd(1)───eyshcjdmzg(37775)─┬─{eyshcjdmzg}(37782)
├─{eyshcjdmzg}(37783)
└─{eyshcjdmzg}(37784)
을 사용하여 프로세스에 첨부했습니다 strace -p PID
. 내가 가진 결과는 다음과 같습니다. https://gist.github.com/gmile/eb34d262012afeea82af1c21713b1be9 .
프로세스 종료가 작동하지 않습니다. 어떻게 든 (시스템을 통해?) 부활합니다. 시스템 관점에서 본 모습은 다음과 같습니다 ( 하단에 이상한 IP 주소 가 있음).
$ systemctl status 37775
● session-60.scope - Session 60 of user root
Loaded: loaded
Transient: yes
Drop-In: /run/systemd/system/session-60.scope.d
└─50-After-systemd-logind\x2eservice.conf, 50-After-systemd-user-sessions\x2eservice.conf, 50-Description.conf, 50-SendSIGHUP.conf, 50-Slice.conf, 50-TasksMax.conf
Active: active (abandoned) since Tue 2018-03-06 10:42:51 EET; 1 day 1h ago
Tasks: 14
Memory: 155.4M
CPU: 18h 56min 4.266s
CGroup: /user.slice/user-0.slice/session-60.scope
├─37775 cat resolv.conf
├─48798 cd /etc
├─48799 sh
├─48804 who
├─48806 ifconfig eth0
├─48807 netstat -an
├─48825 cd /etc
├─48828 id
├─48831 ps -ef
├─48833 grep "A"
└─48834 whoami
Mar 06 10:42:51 k8s-master systemd[1]: Started Session 60 of user root.
Mar 06 10:43:27 k8s-master sshd[37594]: Received disconnect from 23.27.74.92 port 59964:11:
Mar 06 10:43:27 k8s-master sshd[37594]: Disconnected from 23.27.74.92 port 59964
Mar 06 10:43:27 k8s-master sshd[37594]: pam_unix(sshd:session): session closed for user root
무슨 일이야?!
48
"누군가가 나를 해킹하고 있습니까?" 항상 "예"입니다. 실제 질문은 "누군가 나를 해킹 한 적이 있습니까?"입니다.
—
ChuckCottrill
단어는 '크래킹'또는 '침투'또는 '명령'이며 반드시 '해킹'은 아닙니다.
—
can-ned_food
@ can-ned_food 나는 약 15 년 전에 들었다. 구별이 많은 호그 워시라는 것을 깨닫기까지 시간이 걸렸습니다. "해킹"은 절대적으로 같은 것을 의미합니다. 1980 년에는 그렇지 않더라도 언어는 현재의 언어로 충분히 변했습니다.
—
jpmc26
@ jpmc26 내가 이해 한 바에 따르면, 해킹은 더 넓은 용어입니다. 해커는 다른 사람의 조잡한 코드에서 일하는 모든 프로그래머입니다.
—
can-ned_food
@ can-ned_food 그런 식으로 사용할 수 있지만 무단 액세스를 설명하는 데 훨씬 일반적으로 사용됩니다. 의미가 무엇인지 컨텍스트에서 거의 항상 명확합니다.
—
jpmc26