具有奇怪隨機名稱的程序會消耗大量網路和 CPU 資源。有人在黑我嗎？

在雲提供商的虛擬機中，我看到一個帶有奇怪隨機名稱的程序。它消耗大量的網路和 CPU 資源。

從視圖來看，該過程如下所示pstree：

systemd(1)───eyshcjdmzg(37775)─┬─{eyshcjdmzg}(37782)
                              ├─{eyshcjdmzg}(37783)
                              └─{eyshcjdmzg}(37784)

我使用strace -p PID. 這是我得到的輸出：https ://gist.github.com/gmile/eb34d262012afeea82af1c21713b1be9 。

殺死程序不起作用。它以某種方式（通過systemd？）復活了。這是從 systemd 的角度來看它的樣子（注意底部奇怪的 IP 地址）：

$ systemctl status 37775
● session-60.scope - Session 60 of user root
  Loaded: loaded
Transient: yes
 Drop-In: /run/systemd/system/session-60.scope.d
          └─50-After-systemd-logind\x2eservice.conf, 50-After-systemd-user-sessions\x2eservice.conf, 50-Description.conf, 50-SendSIGHUP.conf, 50-Slice.conf, 50-TasksMax.conf
  Active: active (abandoned) since Tue 2018-03-06 10:42:51 EET; 1 day 1h ago
   Tasks: 14
  Memory: 155.4M
     CPU: 18h 56min 4.266s
  CGroup: /user.slice/user-0.slice/session-60.scope
          ├─37775 cat resolv.conf
          ├─48798 cd /etc
          ├─48799 sh
          ├─48804 who
          ├─48806 ifconfig eth0
          ├─48807 netstat -an
          ├─48825 cd /etc
          ├─48828 id
          ├─48831 ps -ef
          ├─48833 grep "A"
          └─48834 whoami

Mar 06 10:42:51 k8s-master systemd[1]: Started Session 60 of user root.
Mar 06 10:43:27 k8s-master sshd[37594]: Received disconnect from 23.27.74.92 port 59964:11:
Mar 06 10:43:27 k8s-master sshd[37594]: Disconnected from 23.27.74.92 port 59964
Mar 06 10:43:27 k8s-master sshd[37594]: pam_unix(sshd:session): session closed for user root

到底是怎麼回事？！

eyshcjdmzg是一個 Linux DDoS 木馬（通過Google搜尋很容易找到）。你很可能被黑了。

立即使該伺服器離線。它不再是你的了。

請仔細閱讀以下 ServerFault Q/A：如何處理受損伺服器。

請注意，根據您的身份和位置，您可能還有法律義務向當局報告此事件。例如，如果您在瑞典的政府機構（例如大學）工作，就會出現這種情況。

有關的：

• 如何殺死 AWS EC2 實例上的礦工惡意軟體？（受損的伺服器）
• 需要幫助了解可疑的 SSH 命令

引用自：https://unix.stackexchange.com/questions/428721