Warum läuft Elasticsearch-Benutzer mit SSHD?

1191
eugene

Mein Heimnetzwerk ist häufig ausgefallen und ich habe das Problem auf meine Ubuntu-Box eingegrenzt.

$ ps -ef | grep elastic elastic+ 11183 1 0 8월10 ? 00:07:49 [.ECC6DFE919A382] eugenek+ 14482 14453 0 22:08 pts/19 00:00:00 grep elastic elastic+ 20208 1 0 8월07 ? 00:01:35 [.......] elastic+ 24398 1 0 8월08 ? 00:01:20 [SSHD] elastic+ 24745 1 4 10:44 ? 00:27:29 /tmp/.Udelo elastic+ 27895 1 0 8월09 ? 00:00:47 [.......] elastic+ 28652 1 0 8월09 ? 00:00:46 [.......] elastic+ 31127 1 0 8월09 ? 00:00:41 [.......] elastic+ 31223 1 0 8월07 ? 00:01:34 [.......] elastic+ 31460 1 0 19:23 ? 00:00:02 [freeBSD]

elastisch + ist ein Elasticsearch-Benutzer, der erstellt wird, wenn ich den Elasticsearch-Server einrichte.

Sieht es komisch aus? oder sind es regelmäßige Prozesse, die von elasticsearch durchgeführt werden?

BEARBEITEN

Ich fand auch das .. Also sieht es schwerer aus als das, was kmac ursprünglich vorschlug?

116.10.191.177 ist nicht jemand, den ich kenne, er kommt aus China.

Warum läuft Elasticsearch-Benutzer mit SSHD?

6
Sehen Sie sich den mutmaßlichen `SSHD`-Prozess unter` / proc / 24398` genauer an. Interessante Bereiche sind: Das "exe" Symlink-Ziel; "cmdline" Argumente; Prozess "Umgebung". Diese Dateien enthalten durch Null getrennte Werte. Wenn Sie sie durch 'xargs -0 -L1 echo' leiten, erhalten Sie eine bessere Ausgabe. Daniel B vor 9 Jahren 0
Ich war zu alarmiert und tötete sie alle und zog den Netzstecker aus dem Netzwerk, bevor ich probiere, was Sie vorgeschlagen hatten. eugene vor 9 Jahren 0

2 Antworten auf die Frage

8
kmac

Dies ist höchstwahrscheinlich Malware, die einen Exploit in der elastischen Suche oder in Java verwendet.

Ich habe das gleiche Problem ausgeführt, bei dem mein Tomcat7-Benutzer gefährdet ist und die gleichen Prozesse ausgeführt werden, die Sie bereits ausgeführt haben.

In Ihrem / tmp-Ordner, der elastisch + gehört, sollten die folgenden Dateien (oder ähnliches) vorhanden sein

.ECC6DFE919A382BADRR1A8CDFC9FB43AA0 zzt.pl

und möglicherweise

mysql1

Nach der Kompromittierung wird die Maschine für DDOS-Angriffe verwendet, normalerweise über UDP-Port 80.

Beenden Sie die fehlerhaften Prozesse und löschen Sie alle fehlerhaften Dateien in / tmp. Dies beschleunigt Ihren Computer vorerst, aber alle Schwachstellen, die ausgenutzt werden, können weiterhin verwendet werden, um wieder auf Ihren Computer zuzugreifen. Wenn Sie sich etwas mehr damit befassen, sieht es aus, als könnte ein Fix für elasticsearch script.disable_dynamic: truezu elasticsearch.yml beitragen. Noch keine Lösung für Kater ...

Stellen Sie sicher, dass der Benutzer elastic + über keinen Root-Zugriff oder erhöhte Berechtigungen verfügt, da diese Ihre Box noch mehr ausnutzen könnten.

Dieser Exploit erschien Ende Juli und ich konnte nur Informationen zu chinesischen Foren finden. Mit Google Translate habe ich einige gute Informationen erhalten, aber immer noch keine Lösung.

Hier ist der Link mit einigen Informationen, sie erwähnen jetzt die elastische Suche sowie den Kater: http://my.oschina.net/abcfy2/blog/292159

AKTUALISIEREN

Ich habe herausgefunden, dass es sich bei dem Kater-Exploit um eine Schwachstelle von struts2 handelt. Ich würde empfehlen, auf die neueste Version von struts2 zu aktualisieren.

Danke für die Eingabe, ich habe der Frage ein Bild hinzugefügt. Kannst du bitte einen Blick darauf werfen? eugene vor 9 Jahren 1
Ich würde ernsthaft ernsthaft überlegen, das System neu aufzubauen. Journeyman Geek vor 9 Jahren 1
@eugene Smart Call den Stecker herausziehen. Es konnte nicht schaden, die Maschine wieder aufzubauen. Achten Sie beim nächsten Mal darauf, `script.disable_dynamic: true` in elasticsearch.yml einzubeziehen, da dies helfen sollte. Zu diesem Zeitpunkt ist jedoch noch niemand sicher, wie Elasticsearch und Kater genutzt werden. Das einzige, was sie gemeinsam haben, ist Java, das könnte es also sein. Auf allen meinen Webservern laufen Skripte, um mich im Falle eines nachfolgenden Angriffs zu warnen. Ich kann die Protokolle besser durchforsten und versuchen, mehr darüber zu erfahren. kmac vor 9 Jahren 1
1
Daniel Agans

Ich bin auf Version 0.90.10 und habe keine SSHD-Benutzer mit Gummischnitt +.

~$ ps -ef | grep elastic nonroot 1647 1627 0 10:24 pts/0 00:00:00 grep --color=auto elastic elastic+ 5322 1 1 May09 ? 1-02:38:50 /usr/lib/jvm/java-7-openjdk-amd64//bin/java -Xms256m -Xmx1g -Xss256k -Djava.awt.headless=true -XX:+UseParNewGC -XX:+UseConcMarkSweepGC -XX:CMSInitiatingOccupancyFraction=75 -XX:+UseCMSInitiatingOccupancyOnly -XX:+HeapDumpOnOutOfMemoryError -Delasticsearch -Des.pidfile=/var/run/elasticsearch.pid -Des.path.home=/usr/share/elasticsearch -cp :/usr/share/elasticsearch/lib/elasticsearch-0.90.10.jar:/usr/share/elasticsearch/lib/*:/usr/share/elasticsearch/lib/sigar/* -Des.default.config=/etc/elasticsearch/elasticsearch.yml -Des.default.path.home=/usr/share/elasticsearch -Des.default.path.logs=/var/log/elasticsearch -Des.default.path.data=/var/lib/elasticsearch -Des.default.path.work=/tmp/elasticsearch -Des.default.path.conf=/etc/elasticsearch org.elasticsearch.bootstrap.ElasticSearch

Verwandte Probleme