Рейтинг:0

Подозрительные пользователи с номерами пожирают весь ЦП

флаг cn

На моем тестовом сервере, на котором у меня запущены gitlab-ce, сервер Redis и некоторые другие важные службы, я заметил, что у меня есть незваный гость, kdevtmpfsi. Я пробовал все, что предлагало сообщество, но я вижу в этом своего рода интеллект.

Я запускаю некоторые процессы под несуществующими пользователями, он запускается гитлаб-+, но я убил все обработки с этим пользователем. Теперь я вижу другое поведение. Запускает какие-то процессы под какими-то пользователями с номерами, 998, 997, 996, и т.д.

Все команды, которые они запускают, не существуют на моей машине. У меня нет локального postgres, redis-сервера, gitlab-exporter и т. д.

28741 999 20 0 2873420 2,289g 0 S 331,8 29,4 1:31,19 kdevtmpfsi

Кто-нибудь может помочь?

A.B avatar
флаг cl
A.B
kdevtmpfsi, вероятно, является майнером монет, но на вашем снимке экрана (пожалуйста, используйте вместо этого текст) он не отображается. Вы задаете вопрос, потому что 1/ у вас был kdevtmpfsi, но его больше нет? 2/ у вас есть работающий gitlab внутри докера, но вы ожидаете, что он больше не работает? 3/ что-то еще?
A.B avatar
флаг cl
A.B
В любом случае ответ, вероятно, есть: https://serverfault.com/questions/218005/how-do-i-deal-with-a-compromised-server
Pit avatar
флаг dz
Pit
Пожалуйста, проверьте [Архитектура приложений Gitlab] (https://docs.gitlab.com/ee/development/architecture.html#simplified-component-overview), это может быть скомпрометированный сервер, а может и нет. Gitlab — фантастическое программное обеспечение, но оно очень тяжелое, задействовано несколько других серверов (например, Redis, PostgreSQL,...).
флаг cn
Вы упомянули докер. Вы уверены, что это не процессы в контейнерах, у которых другой набор пользователей, неизвестный хосту?
Рейтинг:1
флаг br

Здесь происходят две вещи:

  1. Шахтер действительно работает. Поиск в Google для kdevtmpfsi дает много результатов.
  2. Вполне вероятно, что это происходит внутри контейнера, поэтому числовой UID и отсутствие файла на хосте — это нормально.

Итак, вероятно, один из контейнеров был скомпрометирован. Вырвались ли они из него, неизвестно.

Я бы поставил на «нет», потому что это требует дополнительных усилий и больше шансов быть пойманным (контейнерные хосты имеют намного лучшую безопасность, чем контейнеры) и не дает им многого — это майнер типа «выстрелил и забыл», который они не будут связываться снова, когда он будет закрыт, не так много потеряно.

Тем не менее, вы не можете быть уверены, поэтому правильным и усердным было бы взорвать сайт с орбиты.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.