Почему пользователь Flexiblesearch использует SSHD?

1131
eugene

Моя домашняя сеть часто выходит из строя, и я сузил проблему до своего окна Ubuntu.

$ ps -ef | grep elastic elastic+ 11183 1 0 8월10 ? 00:07:49 [.ECC6DFE919A382] eugenek+ 14482 14453 0 22:08 pts/19 00:00:00 grep elastic elastic+ 20208 1 0 8월07 ? 00:01:35 [.......] elastic+ 24398 1 0 8월08 ? 00:01:20 [SSHD] elastic+ 24745 1 4 10:44 ? 00:27:29 /tmp/.Udelo elastic+ 27895 1 0 8월09 ? 00:00:47 [.......] elastic+ 28652 1 0 8월09 ? 00:00:46 [.......] elastic+ 31127 1 0 8월09 ? 00:00:41 [.......] elastic+ 31223 1 0 8월07 ? 00:01:34 [.......] elastic+ 31460 1 0 19:23 ? 00:00:02 [freeBSD]

эластичный + - пользователь эластичного поиска, который создается, когда я настраиваю сервер эластичного поиска.

Это выглядит странно? или они являются регулярными процессами, управляемыми эластичным поиском?

РЕДАКТИРОВАТЬ

Я также нашел это .. Так что это выглядит серьезнее, чем то, что первоначально предложил kmac?

116.10.191.177 это не тот, кого я знаю, это из Китая ..

enter image description here

6
Пожалуйста, подробнее рассмотрите предполагаемый процесс `SSHD` через` / proc / 24398`. Интересующие области: цель символической ссылки exe; аргументы `cmdline`; «окружающая среда» процесса. Эти файлы содержат разделенные нулями значения. Передача их через `xargs -0 -L1 echo` обеспечивает лучший результат. Daniel B 9 лет назад 0
Я был слишком встревожен, и убил их всех и отключил его от сети, прежде чем я попробую то, что вы предложили .. eugene 9 лет назад 0

2 ответа на вопрос

8
kmac

Скорее всего, это вредоносная программа, использующая эксплойт в упругом поиске или Java.

Я столкнулся с той же проблемой, когда мой пользователь tomcat7 скомпрометирован, и у вас запущены те же процессы.

В папке / tmp должны находиться следующие файлы (или аналогичные), принадлежащие упругой +

.ECC6DFE919A382BADRR1A8CDFC9FB43AA0 zzt.pl

и, возможно,

mysql1

После взлома машина будет использоваться для DDOS-атак, обычно через порт UDP 80.

Чтобы очистить, убить нарушающие процессы и удалить все поврежденные файлы в / tmp. На данный момент это ускорит работу вашей машины, но любая уязвимость может быть использована для того, чтобы снова получить доступ к вашей машине. Если немного углубиться в это, то это похоже на то, что исправление упругого поиска можно добавить script.disable_dynamic: trueвasticsearch.yml. Тем не менее, не исправить для кота, однако ...

Убедитесь, что у пользователя эластичного + нет прав root или каких-либо повышенных привилегий, поскольку они могут использовать их для еще большей эксплуатации вашего устройства.

Этот эксплойт появился в конце июля, и я смог найти информацию только на китайских форумах. С помощью Google Translate я получил хорошую информацию, но по-прежнему нет решения.

Вот ссылка с некоторой информацией, теперь они упоминают эластичный поиск, а также tomcat: http://my.oschina.net/abcfy2/blog/292159

ОБНОВИТЬ

Что касается эксплойта tomcat, я обнаружил, что используемый эксплойт может быть уязвимостью struts2. Я бы порекомендовал обновить до последней версии Struts2.

Спасибо за вклад, я добавил картинку к вопросу, можете посмотреть, пожалуйста? eugene 9 лет назад 1
Я бы честно серьезно подумал о перестройке системы. Journeyman Geek 9 лет назад 1
@eugene умный звонок, отключив его. Это не помешает восстановить машину. В следующий раз обязательно включите `script.disable_dynamic: true` вasticsearch.yml, поскольку это должно помочь, однако в настоящее время никто не уверен, как они используют эластичный поиск и tomcat. Единственное, что у них общего, это Java, так что это может быть. У меня запущены скрипты на всех моих веб-серверах, чтобы предупредить меня в случае последующей атаки, я смогу лучше пролистать журналы и попытаться выяснить больше. kmac 9 лет назад 1
1
Daniel Agans

Я использую версию 0.90.10, и у меня нет SSHD, на котором работает пользовательastic +.

~$ ps -ef | grep elastic nonroot 1647 1627 0 10:24 pts/0 00:00:00 grep --color=auto elastic elastic+ 5322 1 1 May09 ? 1-02:38:50 /usr/lib/jvm/java-7-openjdk-amd64//bin/java -Xms256m -Xmx1g -Xss256k -Djava.awt.headless=true -XX:+UseParNewGC -XX:+UseConcMarkSweepGC -XX:CMSInitiatingOccupancyFraction=75 -XX:+UseCMSInitiatingOccupancyOnly -XX:+HeapDumpOnOutOfMemoryError -Delasticsearch -Des.pidfile=/var/run/elasticsearch.pid -Des.path.home=/usr/share/elasticsearch -cp :/usr/share/elasticsearch/lib/elasticsearch-0.90.10.jar:/usr/share/elasticsearch/lib/*:/usr/share/elasticsearch/lib/sigar/* -Des.default.config=/etc/elasticsearch/elasticsearch.yml -Des.default.path.home=/usr/share/elasticsearch -Des.default.path.logs=/var/log/elasticsearch -Des.default.path.data=/var/lib/elasticsearch -Des.default.path.work=/tmp/elasticsearch -Des.default.path.conf=/etc/elasticsearch org.elasticsearch.bootstrap.ElasticSearch

Похожие вопросы