web-dev-qa-db-ja.com

ElasticsearchユーザーがSSHDを実行しているのはなぜですか?

私のホームネットワークは頻繁にダウンしていて、問題をubuntuボックスに絞り込みました。

$ ps -ef | grep elastic
elastic+ 11183     1  0  8월10 ?      00:07:49 [.ECC6DFE919A382]
eugenek+ 14482 14453  0 22:08 pts/19   00:00:00 grep elastic
elastic+ 20208     1  0  8월07 ?      00:01:35 [.......]
elastic+ 24398     1  0  8월08 ?      00:01:20 [SSHD]
elastic+ 24745     1  4 10:44 ?        00:27:29 /tmp/.Udelo
elastic+ 27895     1  0  8월09 ?      00:00:47 [.......]
elastic+ 28652     1  0  8월09 ?      00:00:46 [.......]
elastic+ 31127     1  0  8월09 ?      00:00:41 [.......]
elastic+ 31223     1  0  8월07 ?      00:01:34 [.......]
elastic+ 31460     1  0 19:23 ?        00:00:02 [freeBSD]

elastic +は、elasticsearchサーバーをセットアップしたときに作成されるelasticsearchユーザーです。

変に見えますか?それとも、elasticsearchによって実行される通常のプロセスですか?

[〜#〜]編集[〜#〜]

私もこれを見つけました..それで、それはkmacが最初に提案したものより厳しいように見えますか?

116.10.191.177は私が知っている人ではなく、中国出身です。

enter image description here

ubunturootkit
6
eugene

これは、ElasticSearchまたはJavaのエクスプロイトを使用するマルウェアである可能性が最も高いです。

私はTomcat7ユーザーが危険にさらされ、あなたと同じプロセスが実行されているという同じ問題に遭遇しました。

Elastic +が所有する/ tmpフォルダーに次のファイル(または同様のファイル)があるはずです。

.ECC6DFE919A382BADRR1A8CDFC9FB43AA0
zzt.pl

そしておそらく

mysql1

侵害されると、マシンは通常UDPポート80を介してDDOS攻撃に使用されます。

クリーンアップするには、問題のあるプロセスを強制終了し、/ tmp内の問題のあるファイルをすべて削除します。これにより、当面はマシンの速度が向上しますが、悪用されている脆弱性を使用して、マシンに再びアクセスすることができます。これをもう少し掘り下げると、elasticsearchの修正でelasticsearch.ymlにscript.disable_dynamic: trueが追加されるようです。ただし、Tomcatの修正はまだありません...

Elastic +ユーザーがrootアクセスや昇格された特権を持っていないことを確認してください。これらを使用して、ボックスをさらに悪用する可能性があります。

このエクスプロイトは7月下旬に発生し、中国のフォーラムでしか情報を見つけることができませんでした。グーグル翻訳を使用して、私はいくつかの良い情報を得ましたが、それでも解決策はありません。

ここにいくつかの情報へのリンクがあります、彼らは今Tomcatと同様にelasticsearchに言及しています: http://my.oschina.net/abcfy2/blog/292159

[〜#〜]更新[〜#〜]

Tomcatエクスプロイトの場合、使用されているエクスプロイトがstruts2の脆弱性である可能性があることがわかりました。 struts2の最新バージョンに更新することをお勧めします。

8
kmac

私はバージョン0.90.10を使用しており、ユーザーelastic +を実行しているSSHDを持っていません。

~$ ps -ef | grep elastic
nonroot    1647  1627  0 10:24 pts/0    00:00:00 grep --color=auto elastic
elastic+  5322     1  1 May09 ?        1-02:38:50 /usr/lib/jvm/Java-7-openjdk-AMD64//bin/Java -Xms256m -Xmx1g -Xss256k -Djava.awt.headless=true -XX:+UseParNewGC -XX:+UseConcMarkSweepGC -XX:CMSInitiatingOccupancyFraction=75 -XX:+UseCMSInitiatingOccupancyOnly -XX:+HeapDumpOnOutOfMemoryError -Delasticsearch -Des.pidfile=/var/run/elasticsearch.pid -Des.path.home=/usr/share/elasticsearch -cp :/usr/share/elasticsearch/lib/elasticsearch-0.90.10.jar:/usr/share/elasticsearch/lib/*:/usr/share/elasticsearch/lib/sigar/* -Des.default.config=/etc/elasticsearch/elasticsearch.yml -Des.default.path.home=/usr/share/elasticsearch -Des.default.path.logs=/var/log/elasticsearch -Des.default.path.data=/var/lib/elasticsearch -Des.default.path.work=/tmp/elasticsearch -Des.default.path.conf=/etc/elasticsearch org.elasticsearch.bootstrap.ElasticSearch
1
Daniel Agans