我的家庭网络经常出现故障,我已将问题缩小到我的 ubuntu 盒子上。
$ ps -ef | grep elastic
elastic+ 11183 1 0 8월10 ? 00:07:49 [.ECC6DFE919A382]
eugenek+ 14482 14453 0 22:08 pts/19 00:00:00 grep elastic
elastic+ 20208 1 0 8월07 ? 00:01:35 [.......]
elastic+ 24398 1 0 8월08 ? 00:01:20 [SSHD]
elastic+ 24745 1 4 10:44 ? 00:27:29 /tmp/.Udelo
elastic+ 27895 1 0 8월09 ? 00:00:47 [.......]
elastic+ 28652 1 0 8월09 ? 00:00:46 [.......]
elastic+ 31127 1 0 8월09 ? 00:00:41 [.......]
elastic+ 31223 1 0 8월07 ? 00:01:34 [.......]
elastic+ 31460 1 0 19:23 ? 00:00:02 [freeBSD]
elastic+ 是我设置 elasticsearch 服务器时创建的 elasticsearch 用户。
看起来很奇怪吗?或者它们是由 elasticsearch 运行的常规进程?
编辑
我也发现了这一点..所以它看起来比 kmac 最初建议的更严重?
116.10.191.177 不是我认识的人,它来自中国。
答案1
这很可能是使用弹性搜索或 Java 漏洞的恶意软件。
我遇到了同样的问题,我的 tomcat7 用户受到了损害,并且正在运行与您相同的进程。
您的 /tmp 文件夹中应该有以下文件(或类似文件),这些文件由 elastic+ 拥有
.ECC6DFE919A382BADRR1A8CDFC9FB43AA0
zzt.pl
并且可能
mysql1
一旦受到攻击,该机器将被用于 DDOS 攻击,通常通过 UDP 端口 80。
要进行清理,请终止有问题的进程,并删除 /tmp 中的所有有问题的文件。这会暂时加快您的机器速度,但无论利用了什么漏洞,仍然可以再次访问您的机器。深入研究一下,似乎可以将针对 elasticsearch 的修复程序添加script.disable_dynamic: true到 elasticsearch.yml 中。但是,仍然没有针对 tomcat 的修复程序...
确保 elastic+ 用户没有 root 访问权限或任何提升的权限,因为他们可以利用这些权限进一步利用您的盒子。
这个漏洞在 7 月底出现,我只能在中文论坛上找到信息。使用谷歌翻译我得到了一些有用的信息,但仍然没有解决方案。
这是包含一些信息的链接,他们现在提到了 elastic search 以及 tomcat:http://my.oschina.net/abcfy2/blog/292159
更新
对于 tomcat 漏洞,我发现正在使用的漏洞可能是 struts2 漏洞。我建议更新到最新版本的 struts2。
答案2
我使用的是 0.90.10 版本,并且没有运行用户 elastic+ 的 SSHD。
~$ ps -ef | grep elastic
nonroot 1647 1627 0 10:24 pts/0 00:00:00 grep --color=auto elastic
elastic+ 5322 1 1 May09 ? 1-02:38:50 /usr/lib/jvm/java-7-openjdk-amd64//bin/java -Xms256m -Xmx1g -Xss256k -Djava.awt.headless=true -XX:+UseParNewGC -XX:+UseConcMarkSweepGC -XX:CMSInitiatingOccupancyFraction=75 -XX:+UseCMSInitiatingOccupancyOnly -XX:+HeapDumpOnOutOfMemoryError -Delasticsearch -Des.pidfile=/var/run/elasticsearch.pid -Des.path.home=/usr/share/elasticsearch -cp :/usr/share/elasticsearch/lib/elasticsearch-0.90.10.jar:/usr/share/elasticsearch/lib/*:/usr/share/elasticsearch/lib/sigar/* -Des.default.config=/etc/elasticsearch/elasticsearch.yml -Des.default.path.home=/usr/share/elasticsearch -Des.default.path.logs=/var/log/elasticsearch -Des.default.path.data=/var/lib/elasticsearch -Des.default.path.work=/tmp/elasticsearch -Des.default.path.conf=/etc/elasticsearch org.elasticsearch.bootstrap.ElasticSearch