Linux, komische Prozesse

BlackDemo · 6. Januar 2017

Hallo,
es läuft immer ein komischer Prozess und diese fressen extrem viel Leistung. Wenn ich einen beende startet automatisch ein anderer. Das kommt raus wenn ich ps -fc PID eingeben:

-----
dcwsjiqbdm
root 21422 1 TS 19 20:19 ? Ssl 0:08 route -n
----
qgacrkmnmi
root 22232 1 TS 19 20:20 ? Ssl 0:16 route -n
-----
tzldmbunhg
UID PID PPID CLS PRI STIME TTY STAT TIME CMD
root 25167 1 TS 19 20:26 ? Ssl 0:08 grep "A"
-----
xhfyflzvli
root 26764 1 TS 19 20:30 ? Ssl 3:14 sh

Ist das normal? Ab und zu fressen diese komisch genannten Prozesse über 100% der CPU, dann steht bei "top" System load 1.xx und gestern sogar 5.xx
LG

Troublegum · 6. Januar 2017

route, grep und sh sind Bestandteil wohl jeder Linux-Distribution. Standardwerkzeuge bzw. sogar die Shell selbst. Find ich jetzt nicht wirklich komisch. Aber ne hohe Auslastung haste da schon.

aLca · 6. Januar 2017

BlackDemo schrieb:
Ist das normal? Ab und zu fressen diese komisch genannten Prozesse über 100% der CPU, dann steht bei "top" System load 1.xx und gestern sogar 5.xx
LG

Nein, ist nicht normal. Hast dir wohl nen Rootkit eingefangen.

doof123 · 6. Januar 2017

Die Namen der Prozesse erinnern an typische Malware, wie man das unter Windows so kennt.

Hoeze · 6. Januar 2017

Führ mal 'file /proc/<PID>/exe' aus, dann weißt du, welches Binary da gerade läuft.

Btw: htop (besseres top) hat eine tree-Funktion, über die du sehen kannst, von welchem Prozess ein anderer Prozess gestartet wurde. Einfach htop starten und F5 drücken.
KP ob das auch anders geht, aber htop sollte meiner Meinung nach sowieso überall Standard sein...

BlackDemo · 6. Januar 2017

Es sagt mir:
/proc/13393/exe: symbolic link to /usr/bin/atniljevbm
aber mit FTP finde ich dort nichts. Das Problem ist, wenn ich den Prozess beende, dann startet der nächste:

/proc/18717/exe: symbolic link to /bin/pzzcqmojhq
/proc/19391/exe: symbolic link to /usr/bin/wieidxalco
/proc/19889/exe: symbolic link to /usr/bin/lpieijwgon

Ergänzung (6. Januar 2017)

Mal so eine Frage nebenbei, heute morgen wurde mein Rootserver gesperrt aus folgenden Gründen:
We have noticed that you have been using other IPs from the same subnet in
addition to the main IP mentioned in the above subject line.

As this is not permitted, we regret to inform you that your server has been
deactivated.

Guidelines regarding further course of action may be found in our wiki:
http://wiki.hetzner.de/index.php/Leitfaden_bei_Serversperrung/en.

Yours faithfully

Your Hetzner Support Team

30:85:a9:ee:22:b7 - ge-0/0/0.0

Jan 6 08:32:00 2a01:4f8::a:14:1:12 fpc0 PFE_FW_SYSLOG_IP: %-FW: ge-0/0/0.0
A tcp 46.4.53.133 122.228.20.161 41107 8010 (1 packets)
Jan 6 08:32:00 2a01:4f8::a:14:1:12 fpc0 PFE_FW_SYSLOG_IP: %-FW: ge-0/0/0.0
A tcp 46.4.53.128 122.228.20.161 49710 8010 (1 packets)
Jan 6 08:32:00 2a01:4f8::a:14:1:12 fpc0 PFE_FW_SYSLOG_IP: %-FW: ge-0/0/0.0
A tcp 46.4.53.190 122.228.20.161 39707 8010 (1 packets)
Jan 6 08:32:00 2a01:4f8::a:14:1:12 fpc0 PFE_FW_SYSLOG_IP: %-FW: ge-0/0/0.0
A tcp 46.4.53.176 122.228.20.161 11595 8010 (1 packets)
Jan 6 08:32:01 2a01:4f8::a:14:1:12 fpc0 PFE_FW_SYSLOG_IP: %-FW: ge-0/0/0.0
A tcp 46.4.53.131 122.228.20.161 44189 8010 (1 packets)
Jan 6 08:32:01 2a01:4f8::a:14:1:12 fpc0 PFE_FW_SYSLOG_IP: %-FW: ge-0/0/0.0
A tcp 46.4.53.132 122.228.20.161 54782 8010 (2 packets)
Jan 6 08:32:01 2a01:4f8::a:14:1:12 fpc0 PFE_FW_SYSLOG_IP: %-FW: ge-0/0/0.0
A tcp 46.4.53.140 122.228.20.161 47742 8010 (2 packets)
Jan 6 08:32:01 2a01:4f8::a:14:1:12 fpc0 PFE_FW_SYSLOG_IP: %-FW: ge-0/0/0.0
A tcp 46.4.53.174 122.228.20.161 42064 8010 (2 packets)
Jan 6 08:32:01 2a01:4f8::a:14:1:12 fpc0 PFE_FW_SYSLOG_IP: %-FW: ge-0/0/0.0
A tcp 46.4.53.132 122.228.20.161 8767 8010 (1 packets)
Jan 6 08:32:01 2a01:4f8::a:14:1:12 fpc0 PFE_FW_SYSLOG_IP: %-FW: ge-0/0/0.0
A tcp 46.4.53.140 122.228.20.161 24158 8010 (1 packets)
Jan 6 08:32:01 2a01:4f8::a:14:1:12 fpc0 PFE_FW_SYSLOG_IP: %-FW: ge-0/0/0.0
A tcp 46.4.53.151 122.228.20.161 31979 8010 (1 packets)

Ich würde das auf diese komischen Prozessen schieben. Wie erkenne ich das Proble hier?
Vielen Dank für die Hilfe!

ChristianSL · 6. Januar 2017

Dann bleibt dir wohl nur ein Image von der VM zu ziehen, herausfinden wie das passiert ist und nochmal die Grundlagen von Servern und deren Sicherheit zu studieren/prüfen.
Mit etwas Glück findest du in den logs die Schwachstelle. Oft sind es ungepatchte Software, Standardpasswörter und schlecht gesicherte Dienste, die dann von Bots mit Standardscripten ausgenutzt und übernommen werden...
Ich würde die VM auch nicht wieder starten und an irgendein Netz hängen, sondern alles platt machen.
Hetzner hat dir das ja auch schon verlinkt.

BlackDemo · 6. Januar 2017

Also den Server komplett neu aufzusetzen kann das Problem lösen?

Degra · 6. Januar 2017

Neu aufsetzen hilft immer Viren/Rootkits und dergleichen loszuwerden.
Ich hätte das ganze mit dem recovery mode oder auch einem niedrigeren Runlevel probiert die Dateien zu den suspekten Prozessen zu löschen, aber ich weiß nicht welche Möglichkeiten du mit deinem Rootserver dort hast.

ChristianSL · 6. Januar 2017

Wenn da Malware drauf ist, dann kannst du dem System nicht mehr vertrauen. Wenn du keine Prüfsummen der files hast, dann weißt du nie wo noch irgendetwas schlummert, das nicht direkt via top und co sichtbar ist...

Suche

Linux, komische Prozesse

BlackDemo

Ensign

Troublegum

Lt. Commander

aLca

Banned

doof123

Lt. Commander

Hoeze

Lieutenant

BlackDemo

Ensign

ChristianSL

Lt. Commander

BlackDemo

Ensign

Degra

Cadet 2nd Year

ChristianSL

Lt. Commander

Ähnliche Themen

Passend zum Thema

Remote-Software AnyDesk 7.1.3 Update erhöht Stabilität bei Linux und Raspberry Pi

Linux-News der Woche Neue CachyOS-ISO und wichtiges Vulkan-Update

Linux-News der Woche Wine 11 und erneute Raytracing-Verbesserungen