ประมวลผลด้วยชื่อแบบสุ่มที่ใช้ทรัพยากรเครือข่ายและ CPU อย่างมาก มีคนแฮ็คฉันหรือไม่

ใน VM บนผู้ให้บริการคลาวด์ฉันเห็นกระบวนการที่มีชื่อสุ่มแปลก ๆ ใช้ทรัพยากรเครือข่ายและ CPU ที่สำคัญ

นี่คือลักษณะของกระบวนการจากpstreeมุมมอง:

systemd(1)───eyshcjdmzg(37775)─┬─{eyshcjdmzg}(37782)
                               ├─{eyshcjdmzg}(37783)
                               └─{eyshcjdmzg}(37784)

strace -p PIDผมติดอยู่กับขั้นตอนโดยใช้ นี่คือการส่งออกที่ผมเคยได้รับ: https://gist.github.com/gmile/eb34d262012afeea82af1c21713b1be9

การฆ่ากระบวนการไม่ทำงาน มีการคืนชีพอีกครั้ง (ผ่าน systemd?) นี่คือลักษณะจากมุมมองของ systemd ( จดบันทึกที่อยู่ IP แปลก ๆไว้ที่ด้านล่าง):

$ systemctl status 37775
● session-60.scope - Session 60 of user root
   Loaded: loaded
Transient: yes
  Drop-In: /run/systemd/system/session-60.scope.d
           └─50-After-systemd-logind\x2eservice.conf, 50-After-systemd-user-sessions\x2eservice.conf, 50-Description.conf, 50-SendSIGHUP.conf, 50-Slice.conf, 50-TasksMax.conf
   Active: active (abandoned) since Tue 2018-03-06 10:42:51 EET; 1 day 1h ago
    Tasks: 14
   Memory: 155.4M
      CPU: 18h 56min 4.266s
   CGroup: /user.slice/user-0.slice/session-60.scope
           ├─37775 cat resolv.conf
           ├─48798 cd /etc
           ├─48799 sh
           ├─48804 who
           ├─48806 ifconfig eth0
           ├─48807 netstat -an
           ├─48825 cd /etc
           ├─48828 id
           ├─48831 ps -ef
           ├─48833 grep "A"
           └─48834 whoami

Mar 06 10:42:51 k8s-master systemd[1]: Started Session 60 of user root.
Mar 06 10:43:27 k8s-master sshd[37594]: Received disconnect from 23.27.74.92 port 59964:11:
Mar 06 10:43:27 k8s-master sshd[37594]: Disconnected from 23.27.74.92 port 59964
Mar 06 10:43:27 k8s-master sshd[37594]: pam_unix(sshd:session): session closed for user root

เกิดอะไรขึ้น?!

eyshcjdmzgเป็นโทรจัน Linux DDoS (พบได้ง่ายผ่านการค้นหาของ Google) คุณน่าจะถูกแฮ็ค

นำเซิร์ฟเวอร์นั้นออฟไลน์ตอนนี้ มันไม่ใช่ของคุณอีกต่อไป

โปรดอ่านต่อไปนี้ ServerFault Q / อย่างระมัดระวัง: วิธีการจัดการกับเซิร์ฟเวอร์ที่ถูกบุกรุก

โปรดทราบว่าขึ้นอยู่กับว่าคุณเป็นใครและคุณอยู่ที่ไหนคุณอาจมีหน้าที่ตามกฎหมายในการรายงานเหตุการณ์นี้ต่อเจ้าหน้าที่ เป็นกรณีนี้ถ้าคุณทำงานที่หน่วยงานราชการในสวีเดน (เช่นมหาวิทยาลัย) เป็นต้น

ที่เกี่ยวข้อง:

• ฉันจะฆ่ามัลแวร์ที่น่าสนใจบนอินสแตนซ์ AWS EC2 ได้อย่างไร (เซิร์ฟเวอร์ที่ถูกบุกรุก)
• ต้องการความช่วยเหลือในการทำความเข้าใจคำสั่ง SSH ที่น่าสงสัย

ใช่. การค้นหา google สำหรับeyshcjdmzgระบุว่าเซิร์ฟเวอร์ของคุณถูกบุกรุก

ดูฉันจะจัดการกับเซิร์ฟเวอร์ที่ถูกบุกรุกได้อย่างไร สำหรับสิ่งที่ต้องทำเกี่ยวกับสิ่งนั้น (กล่าวโดยย่อให้เช็ดระบบและติดตั้งใหม่ตั้งแต่เริ่มต้น - คุณไม่สามารถไว้ใจอะไรได้ฉันหวังว่าคุณจะสำรองข้อมูลสำคัญและไฟล์ปรับแต่งไว้)