Регистрация Войти
Рейтинг:0
Davood Falahati avatar Server

Подозрительные пользователи с номерами пожирают весь ЦП

флаг cn
Davood Falahati

На моем тестовом сервере, на котором у меня запущены gitlab-ce, сервер Redis и некоторые другие важные службы, я заметил, что у меня есть незваный гость, kdevtmpfsi. Я пробовал все, что предлагало сообщество, но я вижу в этом своего рода интеллект.

Я запускаю некоторые процессы под несуществующими пользователями, он запускается гитлаб-+, но я убил все обработки с этим пользователем. Теперь я вижу другое поведение. Запускает какие-то процессы под какими-то пользователями с номерами, 998, 997, 996, и т.д.

Все команды, которые они запускают, не существуют на моей машине. У меня нет локального postgres, redis-сервера, gitlab-exporter и т. д.

28741 999 20 0 2873420 2,289g 0 S 331,8 29,4 1:31,19 kdevtmpfsi

Кто-нибудь может помочь?

205
1 + 4
A.B avatar
флаг cl
A.B
kdevtmpfsi, вероятно, является майнером монет, но на вашем снимке экрана (пожалуйста, используйте вместо этого текст) он не отображается. Вы задаете вопрос, потому что 1/ у вас был kdevtmpfsi, но его больше нет? 2/ у вас есть работающий gitlab внутри докера, но вы ожидаете, что он больше не работает? 3/ что-то еще?
0
Ответить
A.B avatar
флаг cl
A.B
В любом случае ответ, вероятно, есть: https://serverfault.com/questions/218005/how-do-i-deal-with-a-compromised-server
0
Ответить
Pit avatar
флаг dz
Pit
Пожалуйста, проверьте [Архитектура приложений Gitlab] (https://docs.gitlab.com/ee/development/architecture.html#simplified-component-overview), это может быть скомпрометированный сервер, а может и нет. Gitlab — фантастическое программное обеспечение, но оно очень тяжелое, задействовано несколько других серверов (например, Redis, PostgreSQL,...).
0
Ответить
флаг cn
Håkan Lindqvist
Вы упомянули докер. Вы уверены, что это не процессы в контейнерах, у которых другой набор пользователей, неизвестный хосту?
1
Ответить
Рейтинг:1
avatar Server
флаг br
Simon Richter

Здесь происходят две вещи:

  1. Шахтер действительно работает. Поиск в Google для kdevtmpfsi дает много результатов.
  2. Вполне вероятно, что это происходит внутри контейнера, поэтому числовой UID и отсутствие файла на хосте — это нормально.

Итак, вероятно, один из контейнеров был скомпрометирован. Вырвались ли они из него, неизвестно.

Я бы поставил на «нет», потому что это требует дополнительных усилий и больше шансов быть пойманным (контейнерные хосты имеют намного лучшую безопасность, чем контейнеры) и не дает им многого — это майнер типа «выстрелил и забыл», который они не будут связываться снова, когда он будет закрыт, не так много потеряно.

Тем не менее, вы не можете быть уверены, поэтому правильным и усердным было бы взорвать сайт с орбиты.

0 + 0
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.