ประมวลผลด้วยชื่อแบบสุ่มที่ใช้ทรัพยากรเครือข่ายและ CPU อย่างมาก มีคนแฮ็คฉันหรือไม่


69

ใน VM บนผู้ให้บริการคลาวด์ฉันเห็นกระบวนการที่มีชื่อสุ่มแปลก ๆ ใช้ทรัพยากรเครือข่ายและ CPU ที่สำคัญ

นี่คือลักษณะของกระบวนการจากpstreeมุมมอง:

systemd(1)───eyshcjdmzg(37775)─┬─{eyshcjdmzg}(37782)
                               ├─{eyshcjdmzg}(37783)
                               └─{eyshcjdmzg}(37784)

strace -p PIDผมติดอยู่กับขั้นตอนโดยใช้ นี่คือการส่งออกที่ผมเคยได้รับ: https://gist.github.com/gmile/eb34d262012afeea82af1c21713b1be9

การฆ่ากระบวนการไม่ทำงาน มีการคืนชีพอีกครั้ง (ผ่าน systemd?) นี่คือลักษณะจากมุมมองของ systemd ( จดบันทึกที่อยู่ IP แปลก ๆไว้ที่ด้านล่าง):

$ systemctl status 37775
● session-60.scope - Session 60 of user root
   Loaded: loaded
Transient: yes
  Drop-In: /run/systemd/system/session-60.scope.d
           └─50-After-systemd-logind\x2eservice.conf, 50-After-systemd-user-sessions\x2eservice.conf, 50-Description.conf, 50-SendSIGHUP.conf, 50-Slice.conf, 50-TasksMax.conf
   Active: active (abandoned) since Tue 2018-03-06 10:42:51 EET; 1 day 1h ago
    Tasks: 14
   Memory: 155.4M
      CPU: 18h 56min 4.266s
   CGroup: /user.slice/user-0.slice/session-60.scope
           ├─37775 cat resolv.conf
           ├─48798 cd /etc
           ├─48799 sh
           ├─48804 who
           ├─48806 ifconfig eth0
           ├─48807 netstat -an
           ├─48825 cd /etc
           ├─48828 id
           ├─48831 ps -ef
           ├─48833 grep "A"
           └─48834 whoami

Mar 06 10:42:51 k8s-master systemd[1]: Started Session 60 of user root.
Mar 06 10:43:27 k8s-master sshd[37594]: Received disconnect from 23.27.74.92 port 59964:11:
Mar 06 10:43:27 k8s-master sshd[37594]: Disconnected from 23.27.74.92 port 59964
Mar 06 10:43:27 k8s-master sshd[37594]: pam_unix(sshd:session): session closed for user root

เกิดอะไรขึ้น?!


48
คำตอบของ "มีคนแฮ็คฉันหรือไม่" อยู่เสมอ "ใช่" คำถามจริงคือ "มีใครบางคนประสบความสำเร็จในการแฮ็คฉันหรือไม่"
ChuckCottrill

8
คำว่า 'แคร็ก' หรือ 'เจาะ' หรือ 'commandeering' ไม่จำเป็นต้อง 'แฮ็ค'
can-ned_food

6
@ can-ned_food ฉันบอกว่าประมาณ 15 ปีที่ผ่านมา ฉันใช้เวลาสักพักกว่าจะตระหนักถึงความแตกต่างคือพวงของ hogwash และ "การแฮ็ก" หมายถึงสิ่งเดียวกัน แม้ว่าจะไม่ใช่ในปี 1980 แต่ภาษาก็เปลี่ยนไปมากพอสมควรแล้วในตอนนี้
jpmc26

@ jpmc26 จากสิ่งที่ฉันเข้าใจแฮ็คเป็นคำที่กว้างขึ้น: แฮ็คเกอร์ก็เป็นโปรแกรมเมอร์คนหนึ่งที่ทำงานในโค้ดเลอะเทอะของคนอื่น
can-ned_food

1
@ can-ned_food สามารถใช้วิธีนี้ได้ แต่มักใช้เพื่ออธิบายการเข้าถึงโดยไม่ได้รับอนุญาต มันเกือบจะชัดเจนจากบริบทที่มีความหมาย
jpmc26

คำตอบ:


138

eyshcjdmzgเป็นโทรจัน Linux DDoS (พบได้ง่ายผ่านการค้นหาของ Google) คุณน่าจะถูกแฮ็ค

นำเซิร์ฟเวอร์นั้นออฟไลน์ตอนนี้ มันไม่ใช่ของคุณอีกต่อไป

โปรดอ่านต่อไปนี้ ServerFault Q / อย่างระมัดระวัง: วิธีการจัดการกับเซิร์ฟเวอร์ที่ถูกบุกรุก

โปรดทราบว่าขึ้นอยู่กับว่าคุณเป็นใครและคุณอยู่ที่ไหนคุณอาจมีหน้าที่ตามกฎหมายในการรายงานเหตุการณ์นี้ต่อเจ้าหน้าที่ เป็นกรณีนี้ถ้าคุณทำงานที่หน่วยงานราชการในสวีเดน (เช่นมหาวิทยาลัย) เป็นต้น

ที่เกี่ยวข้อง:


2
หากคุณให้บริการลูกค้าชาวดัตช์ด้วยและคุณเก็บข้อมูลส่วนบุคคล (ที่อยู่ ip, อีเมล, ชื่อ, รายการช็อปปิ้ง, ข้อมูลบัตรเครดิต, รหัสผ่าน) คุณต้องรายงานไปที่datalekken.autoriteitpersoonsgegevens.nl/actionpage?0
Tschallacka

@tschallacka แน่นอนว่าที่อยู่ IP เพียงอย่างเดียวไม่ถือว่าเป็น PII? เว็บเซิร์ฟเวอร์ทุกแห่งแทบทุกแห่งจะเก็บที่อยู่ IP ไว้ในบันทึกการเข้าใช้
Darren H

@DarrenH ฉันคิดว่ามันจะครอบคลุม "ข้อมูลที่สามารถใช้ในการระบุบุคคล" ฯลฯ บันทึกมักจะไม่ถูกมองว่าเป็นข้อมูลประเภทนี้ AFAIK แต่อาจแตกต่างกันหากที่อยู่ IP ถูกเก็บไว้ในฐานข้อมูลอย่างชัดเจน เป็นส่วนหนึ่งของบันทึกบัญชี
Kusalananda

นั่นทำให้รู้สึก ขอบคุณสำหรับการชี้แจง
Darren H

ในประเทศเนเธอร์แลนด์เราต้องปิดบังออคเต็ตทั้งหมดก่อนที่จะส่งไปยัง google เพราะช่วงทั้งหมดนั้นอยู่ภายใต้ข้อมูลส่วนบุคคลเพราะสามารถข้ามกับบันทึกอื่นได้ แฮกเกอร์สามารถ crosscheck พร้อมกับบันทึกอื่น ๆ เพื่อติดตามกิจกรรมของคุณ ใช่ข้อมูลเต็มรูปแบบเช่นที่อยู่จริง
Tschallacka

25

ใช่. การค้นหา google สำหรับeyshcjdmzgระบุว่าเซิร์ฟเวอร์ของคุณถูกบุกรุก

ดูฉันจะจัดการกับเซิร์ฟเวอร์ที่ถูกบุกรุกได้อย่างไร สำหรับสิ่งที่ต้องทำเกี่ยวกับสิ่งนั้น (กล่าวโดยย่อให้เช็ดระบบและติดตั้งใหม่ตั้งแต่เริ่มต้น - คุณไม่สามารถไว้ใจอะไรได้ฉันหวังว่าคุณจะสำรองข้อมูลสำคัญและไฟล์ปรับแต่งไว้)


20
คุณคิดว่าพวกเขาจะสุ่มชื่อในแต่ละระบบที่ติดเชื้อ แต่ดูเหมือนจะไม่
user253751

2
@immibis มันอาจเป็นตัวย่อที่มีความหมายเฉพาะกับผู้เขียน DMZบิตเป็นตัวย่อที่แท้จริง shอาจหมายถึง "เปลือกหอย" และeyอาจเป็น "ตา" โดยไม่มี "e" แต่ฉันแค่คาดเดา
Kusalananda

14
@ Kusalananda ฉันจะพูดว่า "Eye without e Shell CJ Demilitarized zone g" โทรจันไม่ใช่ชื่อที่เลวร้าย
The-Vinh VO

11
@ The-VinhVO ม้วนลิ้นออกจริงๆ
Dason
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.