গুরুত্বপূর্ণ নেটওয়ার্ক এবং সিপিইউ সংস্থান গ্রহণকারী অদ্ভুত এলোমেলো নাম সহ প্রক্রিয়া করুন। কেউ আমাকে হ্যাক করছে?

ক্লাউড সরবরাহকারীর ভিএম-তে আমি অদ্ভুত এলোমেলো নাম সহ একটি প্রক্রিয়া দেখছি। এটি উল্লেখযোগ্য নেটওয়ার্ক এবং সিপিইউ সংস্থান গ্রহণ করে।

প্রক্রিয়াটি pstreeভিউ থেকে কেমন দেখাচ্ছে তা এখানে :

systemd(1)───eyshcjdmzg(37775)─┬─{eyshcjdmzg}(37782)
                               ├─{eyshcjdmzg}(37783)
                               └─{eyshcjdmzg}(37784)

আমি ব্যবহার করে প্রক্রিয়া সংযুক্ত strace -p PID। আমি যে আউটপুটটি পেয়েছি তা এখানে: https://gist.github.com/gmile/eb34d262012afeea82af1c21713b1be9 ।

প্রক্রিয়া মেরে কাজ করে না। এটি কোনওভাবে পুনরুত্থিত (সিস্টেমডের মাধ্যমে?)। সিস্টেমড দৃষ্টিকোণ থেকে এটি কীভাবে দেখায় তা এখানে দেখুন ( নীচে অদ্ভুত আইপি ঠিকানাটি নোট করুন ):

$ systemctl status 37775
● session-60.scope - Session 60 of user root
   Loaded: loaded
Transient: yes
  Drop-In: /run/systemd/system/session-60.scope.d
           └─50-After-systemd-logind\x2eservice.conf, 50-After-systemd-user-sessions\x2eservice.conf, 50-Description.conf, 50-SendSIGHUP.conf, 50-Slice.conf, 50-TasksMax.conf
   Active: active (abandoned) since Tue 2018-03-06 10:42:51 EET; 1 day 1h ago
    Tasks: 14
   Memory: 155.4M
      CPU: 18h 56min 4.266s
   CGroup: /user.slice/user-0.slice/session-60.scope
           ├─37775 cat resolv.conf
           ├─48798 cd /etc
           ├─48799 sh
           ├─48804 who
           ├─48806 ifconfig eth0
           ├─48807 netstat -an
           ├─48825 cd /etc
           ├─48828 id
           ├─48831 ps -ef
           ├─48833 grep "A"
           └─48834 whoami

Mar 06 10:42:51 k8s-master systemd[1]: Started Session 60 of user root.
Mar 06 10:43:27 k8s-master sshd[37594]: Received disconnect from 23.27.74.92 port 59964:11:
Mar 06 10:43:27 k8s-master sshd[37594]: Disconnected from 23.27.74.92 port 59964
Mar 06 10:43:27 k8s-master sshd[37594]: pam_unix(sshd:session): session closed for user root

কি হচ্ছে?!

eyshcjdmzgএটি একটি লিনাক্স ডিডোএস ট্রোজান (সহজেই গুগল অনুসন্ধানের মাধ্যমে পাওয়া যায়)। আপনাকে সম্ভবত হ্যাক করা হয়েছে।

এখন সার্ভারটি অফ-লাইন নিন। এটি আর আপনার নয়।

দয়া করে নীচের সার্ভারফল্ট কিউ / এ সাবধানে পড়ুন: কীভাবে আপস করা সার্ভারের সাথে ডিল করবেন ।

মনে রাখবেন যে আপনি কে এবং আপনি কোথায় আছেন তার উপর নির্ভর করে আপনি আইনত আইনত বাধ্য হয়ে এই ঘটনাটি কর্তৃপক্ষকে জানাতে বাধ্য হতে পারেন। উদাহরণস্বরূপ, আপনি সুইডেনের কোনও সরকারী সংস্থায় (উদাহরণস্বরূপ একটি বিশ্ববিদ্যালয়) কাজ করছেন এমন ক্ষেত্রে এটি হয়।

সম্পর্কিত:

• আমি কীভাবে একটি এডাব্লুএস ইসি 2 উদাহরণে মিনিয়ার্ড ম্যালওয়ারকে হত্যা করতে পারি? (আপোস করা সার্ভার)
• সন্দেহজনক এসএসএইচ কমান্ড বুঝতে সহায়তা প্রয়োজন

হ্যাঁ. Eyshcjdmzg এর জন্য একটি গুগল অনুসন্ধান ইঙ্গিত দেয় যে আপনার সার্ভারটি আপোস হয়েছে।

দেখুন আমি কীভাবে আপোষযুক্ত সার্ভারটি ব্যবহার করব? এটি সম্পর্কে কী করবেন (সংক্ষেপে, সিস্টেমটি মুছুন এবং স্ক্র্যাচ থেকে পুনরায় ইনস্টল করুন - আপনি এটিতে কোনও কিছুই বিশ্বাস করতে পারবেন না I আশা করি আপনার কাছে গুরুত্বপূর্ণ ডেটা এবং কনফিগার ফাইলের ব্যাকআপ রয়েছে)