Puncte:0

Utilizatorii suspecți cu numere devorează întreg CPU

drapel cn

Pe serverul meu de testare pe care îl am gitlab-ce, server redis și alte servicii importante, am observat că am un oaspete neinvitat, kdevtmpfsi. Am încercat tot ce mi-a propus comunitatea, dar în asta văd un fel de inteligență.

Rulez unele procese sub utilizatori inexistenți, a început cu gitlab-+, dar am ucis toate procesele cu acest utilizator. Acum, văd un alt comportament. Rulează unele procese sub unii utilizatori cu numere, 998, 997, 996, etc.

Toate comenzile pe care le execută nu există pe mașina mea. Nu am un postgres local, redis-server, gitlab-exporter etc.

28741 999 20 0 2873420 2,289g 0 S 331,8 29,4 1:31,19 kdevtmpfsi

Poate cineva să ajute?

A.B avatar
drapel cl
A.B
kdevtmpfsi este probabil un miner de monede, dar captura de ecran (vă rugăm să folosiți textul în schimb) nu o afișează. Puneți o întrebare pentru că 1/ ați avut un kdevtmpfsi, dar nu îl mai aveți? 2/ aveți un gitlab care rulează în interiorul docker, dar vă așteptați să nu mai ruleze? 3/ altceva?
A.B avatar
drapel cl
A.B
Oricum, probabil că răspunsul este acolo: https://serverfault.com/questions/218005/how-do-i-deal-with-a-compromised-server
Pit avatar
drapel dz
Pit
Vă rugăm să verificați [Gitlab Application Architecture](https://docs.gitlab.com/ee/development/architecture.html#simplified-component-overview), poate fi un server compromis sau nu. Gitlab este o bucată fantastică de software, dar este foarte greu, sunt implicate mai multe alte servere (cum ar fi Redis, PostgreSQL, ...)
drapel cn
Ai menționat docker. Sunteți sigur că acestea nu sunt procese în containere care au un set diferit de utilizatori, necunoscut gazdei?
Puncte:1
drapel br

Aici se întâmplă două lucruri:

  1. Există într-adevăr un miner care fuge. Caut pe google pentru kdevtmpfsi dă multe rezultate.
  2. Este posibil ca acest lucru să se întâmple în interiorul unui container, așa că UID-ul numeric și fișierul nu există pe gazdă sunt ambele normale.

Deci, probabil că unul dintre containere a fost compromis. Nu se știe dacă au ieșit din ea.

Aș paria pe „nu”, pentru că este un efort suplimentar și mai multe șanse să fii prins (gazdele containerelor au o securitate mult mai bună decât containerele) și nu le câștigă prea mult -- acesta este un miner de foc și uită care nu vor contacta din nou, când este oprit, nu se pierde mare lucru.

Totuși, nu poți fi sigur, așa că lucrul corect și sârguincios de făcut ar fi să distrugi site-ul de pe orbită.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.