Score:0

ผู้ใช้ที่น่าสงสัยที่มีตัวเลขกำลังกิน CPU ทั้งหมด

ธง cn

บนเซิร์ฟเวอร์ทดสอบของฉันซึ่งฉันมี gitlab-ce ที่รันโดยนักเทียบท่า เซิร์ฟเวอร์ redis และบริการที่สำคัญอื่น ๆ ฉันสังเกตเห็นว่าฉันมีแขกที่ไม่ได้รับเชิญ kdevtmpfsi. ฉันลองทุกอย่างที่เสนอโดยชุมชน แต่ฉันเห็นความฉลาดในเรื่องนี้

ฉันเรียกใช้กระบวนการบางอย่างภายใต้ผู้ใช้ที่ไม่มีอยู่ ซึ่งเริ่มต้นโดย gitlab-+แต่ฉันฆ่าการประมวลผลทั้งหมดกับผู้ใช้รายนี้ ตอนนี้ฉันเห็นพฤติกรรมที่แตกต่างออกไป มันรันกระบวนการบางอย่างภายใต้ผู้ใช้บางคนที่มีตัวเลข 998, 997, 996ฯลฯ

คำสั่งทั้งหมดที่พวกเขาเรียกใช้ไม่มีอยู่ในเครื่องของฉัน ฉันไม่มี postgres ในเครื่อง, redis-server, gitlab-exporter เป็นต้น

28741 999 20 0 2873420 2.289ก 0 ส 331.8 29.4 1:31.19 kdevtmpfsi

ใครสามารถช่วย?

A.B avatar
cl flag
A.B
kdevtmpfsi น่าจะเป็นเครื่องขุดเหรียญ แต่ภาพหน้าจอของคุณ (โปรดใช้ข้อความแทน) ไม่แสดง คุณกำลังถามคำถามเพราะ 1/ คุณมี kdevtmpfsi แต่ไม่มีอีกแล้ว? 2/ คุณมี gitlab ที่รันอยู่ใน docker แต่คาดว่ามันจะไม่ทำงานอีกต่อไป? 3/ อย่างอื่น?
A.B avatar
cl flag
A.B
อย่างไรก็ตามคำตอบอาจอยู่ที่นั่น: https://serverfault.com/questions/218005/how-do-i-deal-with-a-compromised-server
Pit avatar
dz flag
Pit
โปรดตรวจสอบ [Gitlab Application Architecture](https://docs.gitlab.com/ee/development/architecture.html#simplified-component-overview) เซิร์ฟเวอร์นั้นอาจเป็นเซิร์ฟเวอร์ที่ถูกบุกรุกหรือไม่ก็ได้ Gitlab เป็นซอฟต์แวร์ที่ยอดเยี่ยม แต่มันหนักมาก มีเซิร์ฟเวอร์อื่นเข้ามาเกี่ยวข้องด้วย (เช่น Redis, PostgreSQL, ...)
cn flag
คุณพูดถึงนักเทียบท่า คุณแน่ใจหรือว่าสิ่งเหล่านี้ไม่ใช่กระบวนการในคอนเทนเนอร์ที่มีผู้ใช้ชุดอื่นซึ่งโฮสต์ไม่รู้จัก
Score:1
ธง br

มีสองสิ่งที่เกิดขึ้นที่นี่:

  1. มีคนงานเหมืองกำลังทำงานอยู่ กูเกิลหา kdevtmpfsi ให้ผลลัพธ์มากมาย
  2. มีแนวโน้มว่าสิ่งนี้จะเกิดขึ้นภายในคอนเทนเนอร์ ดังนั้น UID ที่เป็นตัวเลขและไม่มีไฟล์อยู่บนโฮสต์จึงเป็นเรื่องปกติทั้งคู่

ดังนั้นจึงเป็นไปได้ว่าหนึ่งในคอนเทนเนอร์ถูกบุกรุก ไม่ว่าพวกเขาจะแตกออกจากมันหรือไม่ก็ตาม

ฉันจะพนันว่า "ไม่" เพราะมันต้องใช้ความพยายามเป็นพิเศษและมีโอกาสถูกจับได้มากกว่า (โฮสต์คอนเทนเนอร์มีการรักษาความปลอดภัยที่ดีกว่าคอนเทนเนอร์มาก) และไม่ได้รับมันมากนัก -- นี่คือนักขุดที่ลืมไม่ลง ก็ไม่ติดต่อมาอีก พอปิดไป ก็ไม่ได้เสียอะไรมากมาย

ถึงกระนั้น คุณยังไม่แน่ใจ ดังนั้นสิ่งที่ควรทำและเหมาะสมคือการทำให้ไซต์หลุดออกจากวงโคจร

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา