gmi*_*ile 74 process centos systemd
在云提供商的虚拟机中,我看到一个带有奇怪随机名称的进程。它消耗大量网络和 CPU 资源。
以下是该过程的外观pstree:
systemd(1)???eyshcjdmzg(37775)???{eyshcjdmzg}(37782)
??{eyshcjdmzg}(37783)
??{eyshcjdmzg}(37784)
我使用strace -p PID. 这是我得到的输出:https : //gist.github.com/gmile/eb34d262012afeea82af1c21713b1be9。
杀死进程不起作用。它以某种方式(通过 systemd?)复活了。这是从 systemd 的角度来看它的样子(注意底部奇怪的 IP 地址):
$ systemctl status 37775
? session-60.scope - Session 60 of user root
Loaded: loaded
Transient: yes
Drop-In: /run/systemd/system/session-60.scope.d
??50-After-systemd-logind\x2eservice.conf, 50-After-systemd-user-sessions\x2eservice.conf, 50-Description.conf, 50-SendSIGHUP.conf, 50-Slice.conf, 50-TasksMax.conf
Active: active (abandoned) since Tue 2018-03-06 10:42:51 EET; 1 day 1h ago
Tasks: 14
Memory: 155.4M
CPU: 18h 56min 4.266s
CGroup: /user.slice/user-0.slice/session-60.scope
??37775 cat resolv.conf
??48798 cd /etc
??48799 sh
??48804 who
??48806 ifconfig eth0
??48807 netstat -an
??48825 cd /etc
??48828 id
??48831 ps -ef
??48833 grep "A"
??48834 whoami
Mar 06 10:42:51 k8s-master systemd[1]: Started Session 60 of user root.
Mar 06 10:43:27 k8s-master sshd[37594]: Received disconnect from 23.27.74.92 port 59964:11:
Mar 06 10:43:27 k8s-master sshd[37594]: Disconnected from 23.27.74.92 port 59964
Mar 06 10:43:27 k8s-master sshd[37594]: pam_unix(sshd:session): session closed for user root
到底是怎么回事?!
Kus*_*nda 147
eyshcjdmzg是一个 Linux DDoS 木马(很容易通过谷歌搜索找到)。你很可能被黑客入侵了。
现在使该服务器脱机。它不再是你的了。
请仔细阅读以下 ServerFault Q/A:如何处理受感染的服务器。
请注意,根据您的身份和位置,您可能还有法律义务向当局报告此事件。例如,如果您在瑞典的政府机构(例如大学)工作,就是这种情况。
有关的:
cas*_*cas 27
是的。在谷歌上搜索eyshcjdmzg表明您的服务器已被入侵。
请参阅如何处理受感染的服务器?对此该怎么做(简而言之,擦除系统并从头开始重新安装 - 你不能相信它的任何东西。我希望你有重要数据和配置文件的备份)
| 归档时间: |
|
| 查看次数: |
19151 次 |
| 最近记录: |