네트워크 및 CPU 리소스를 많이 사용하는 이상한 임의 이름으로 처리 누군가 나를 해킹하고 있습니까?


69

클라우드 공급자의 VM에서 이상한 임의 이름을 가진 프로세스가 나타납니다. 상당한 네트워크 및 CPU 리소스를 소비합니다.

프로세스의 모습은 다음과 같습니다 pstree.

systemd(1)───eyshcjdmzg(37775)─┬─{eyshcjdmzg}(37782)
                               ├─{eyshcjdmzg}(37783)
                               └─{eyshcjdmzg}(37784)

을 사용하여 프로세스에 첨부했습니다 strace -p PID. 내가 가진 결과는 다음과 같습니다. https://gist.github.com/gmile/eb34d262012afeea82af1c21713b1be9 .

프로세스 종료가 작동하지 않습니다. 어떻게 든 (시스템을 통해?) 부활합니다. 시스템 관점에서 본 모습은 다음과 같습니다 ( 하단에 이상한 IP 주소 가 있음).

$ systemctl status 37775
● session-60.scope - Session 60 of user root
   Loaded: loaded
Transient: yes
  Drop-In: /run/systemd/system/session-60.scope.d
           └─50-After-systemd-logind\x2eservice.conf, 50-After-systemd-user-sessions\x2eservice.conf, 50-Description.conf, 50-SendSIGHUP.conf, 50-Slice.conf, 50-TasksMax.conf
   Active: active (abandoned) since Tue 2018-03-06 10:42:51 EET; 1 day 1h ago
    Tasks: 14
   Memory: 155.4M
      CPU: 18h 56min 4.266s
   CGroup: /user.slice/user-0.slice/session-60.scope
           ├─37775 cat resolv.conf
           ├─48798 cd /etc
           ├─48799 sh
           ├─48804 who
           ├─48806 ifconfig eth0
           ├─48807 netstat -an
           ├─48825 cd /etc
           ├─48828 id
           ├─48831 ps -ef
           ├─48833 grep "A"
           └─48834 whoami

Mar 06 10:42:51 k8s-master systemd[1]: Started Session 60 of user root.
Mar 06 10:43:27 k8s-master sshd[37594]: Received disconnect from 23.27.74.92 port 59964:11:
Mar 06 10:43:27 k8s-master sshd[37594]: Disconnected from 23.27.74.92 port 59964
Mar 06 10:43:27 k8s-master sshd[37594]: pam_unix(sshd:session): session closed for user root

무슨 일이야?!


48
"누군가가 나를 해킹하고 있습니까?" 항상 "예"입니다. 실제 질문은 "누군가 나를 해킹 한 적이 있습니까?"입니다.
ChuckCottrill

8
단어는 '크래킹'또는 '침투'또는 '명령'이며 반드시 '해킹'은 아닙니다.
can-ned_food

6
@ can-ned_food 나는 약 15 년 전에 들었다. 구별이 많은 호그 워시라는 것을 깨닫기까지 시간이 걸렸습니다. "해킹"은 절대적으로 같은 것을 의미합니다. 1980 년에는 그렇지 않더라도 언어는 현재의 언어로 충분히 변했습니다.
jpmc26

@ jpmc26 내가 이해 한 바에 따르면, 해킹은 더 넓은 용어입니다. 해커는 다른 사람의 조잡한 코드에서 일하는 모든 프로그래머입니다.
can-ned_food

1
@ can-ned_food 그런 식으로 사용할 수 있지만 무단 액세스를 설명하는 데 훨씬 일반적으로 사용됩니다. 의미가 무엇인지 컨텍스트에서 거의 항상 명확합니다.
jpmc26

답변:


138

eyshcjdmzgLinux DDoS 트로이 목마 (Google 검색을 통해 쉽게 찾을 수 있음)입니다. 해킹되었을 수 있습니다.

그 서버를 지금 오프라인으로 가져 가십시오. 더 이상 당신이 아닙니다.

다음 ServerFault Q / A를주의해서 읽으십시오 . 손상된 서버를 처리하는 방법 .

자신의 현재 위치와 위치에 따라이 사건을 당국에보고해야 할 법적 의무가있을 수 있습니다. 예를 들어 스웨덴의 정부 기관 (예 : 대학교)에서 근무하는 경우입니다.

관련 :


2
당신이 그것을보고해야 당신은 또한 네덜란드어 고객에게 서비스를 제공하고 개인 정보 (IP를 adresses, 이메일, 이름, 쇼핑 목록, 신용 카드 정보, 암호)를 저장하는 경우 datalekken.autoriteitpersoonsgegevens.nl/actionpage?0
Tschallacka

@tschallacka 반드시 IP 주소 만 PII로 간주되지 않습니까? 거의 모든 웹 서버가 IP 주소를 액세스 로그에 저장합니다
Darren H

@DarrenH "개인을 식별하는 데 사용할 수있는 데이터"등을 다루고 있다고 가정합니다. 일반적으로 로그는이 유형의 데이터 AFAIK로 표시되지 않지만 IP 주소가 데이터베이스에 명시 적으로 저장되어 있으면 다를 수 있습니다 계정 레코드의 일부로.
Kusalananda

말이 되네요 설명을 주셔서 감사합니다
Darren H

네덜란드에서는 전체 기록이 다른 정보와 교차 확인 될 수 있기 때문에 전체 범위가 개인 정보에 속하기 때문에 Google로 보내기 전에 모든 8 진수를 마스킹해야합니다. 해커는 다른 로그와 교차 확인하여 활동을 추적 할 수 있습니다. 예, 실제 주소와 같은 완전한 persal 정보
Tschallacka

25

예. eyshcjdmzg에 대한 Google 검색은 서버가 손상되었음을 나타냅니다.

손상된 서버를 어떻게 처리합니까?를 참조하십시오 . 그것에 대해 무엇을 해야하는지 (간단히 말하면, 시스템을 지우고 처음부터 다시 설치하십시오-당신은 아무것도 믿을 수 없습니다. 중요한 데이터와 구성 파일의 백업이 있기를 바랍니다)


20
감염된 각 시스템에서 이름을 무작위로 지정하려고한다고 생각할 것입니다.
user253751

2
@immibis 저자에게만 해당되는 약어 일 수 있습니다. DMZ비트는 실제의 약자입니다. sh"쉘"을 의미 ey할 수 있고 "e"가 없으면 "눈"일 수 있지만, 나는 단지 추측하고 있습니다.
Kusalananda

14
@Kusalananda 저는 "e Shell CJ Demilitarized zone g이없는 눈"트로이 목마라는 말이 아닙니다.
The-Vinh VO

11
@ The-VinhVO 정말 혀를 굴려
Dason
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.