Почему пользователь Flexiblesearch использует SSHD?

Question

Моя домашняя сеть часто выходит из строя, и я сузил проблему до своего окна Ubuntu.

$ ps -ef | grep elastic
elastic+ 11183     1  0  8월10 ?      00:07:49 [.ECC6DFE919A382]
eugenek+ 14482 14453  0 22:08 pts/19   00:00:00 grep elastic
elastic+ 20208     1  0  8월07 ?      00:01:35 [.......]
elastic+ 24398     1  0  8월08 ?      00:01:20 [SSHD]
elastic+ 24745     1  4 10:44 ?        00:27:29 /tmp/.Udelo
elastic+ 27895     1  0  8월09 ?      00:00:47 [.......]
elastic+ 28652     1  0  8월09 ?      00:00:46 [.......]
elastic+ 31127     1  0  8월09 ?      00:00:41 [.......]
elastic+ 31223     1  0  8월07 ?      00:01:34 [.......]
elastic+ 31460     1  0 19:23 ?        00:00:02 [freeBSD]

эластичный + - пользователь эластичного поиска, который создается, когда я настраиваю сервер эластичного поиска.

Это выглядит странно? или они являются регулярными процессами, управляемыми эластичным поиском?

РЕДАКТИРОВАТЬ

Я тоже нашел это .. Так что выглядит серьезнее, чем изначально предложил kmac?

116.10.191.177 это не тот, кого я знаю, это из Китая ..

Answer 1

Скорее всего, это вредоносная программа, использующая эксплойт в упругом поиске или Java.

Я столкнулся с той же проблемой, когда мой пользователь tomcat7 скомпрометирован, и у вас запущены те же процессы.

В папке /tmp должны находиться следующие файлы (или аналогичные), принадлежащие упругой +

.ECC6DFE919A382BADRR1A8CDFC9FB43AA0
zzt.pl

и, возможно,

mysql1

После взлома машина будет использоваться для DDOS-атак, обычно через порт UDP 80.

Чтобы очистить, убить нарушающие процессы и удалить все поврежденные файлы в /tmp. На данный момент это ускорит работу вашей машины, но любая уязвимость может быть использована для того, чтобы снова получить доступ к вашей машине. Если немного углубиться в это, то похоже, что исправление упругого поиска может добавить script.disable_dynamic: true эластичного поиска . Тем не менее, не исправить для кота, однако ...

Убедитесь, что у пользователя эластичного + нет прав root или каких-либо повышенных привилегий, поскольку они могут использовать их для еще большей эксплуатации вашего устройства.

Этот эксплойт появился в конце июля, и я смог найти информацию только на китайских форумах. С помощью Google Translate я получил хорошую информацию, но по-прежнему нет решения.

Вот ссылка с некоторой информацией, теперь они упоминают эластичный поиск, а также tomcat: http://my.oschina.net/abcfy2/blog/292159

ОБНОВИТЬ

Что касается эксплойта tomcat, я обнаружил, что используемый эксплойт может быть уязвимостью struts2. Я бы порекомендовал обновить до последней версии Struts2.

Answer 2

Я использую версию 0.90.10, и у меня нет SSHD, на котором работает пользовательastic +.

~$ ps -ef | grep elastic
nonroot    1647  1627  0 10:24 pts/0    00:00:00 grep --color=auto elastic
elastic+  5322     1  1 May09 ?        1-02:38:50 /usr/lib/jvm/java-7-openjdk-amd64//bin/java -Xms256m -Xmx1g -Xss256k -Djava.awt.headless=true -XX:+UseParNewGC -XX:+UseConcMarkSweepGC -XX:CMSInitiatingOccupancyFraction=75 -XX:+UseCMSInitiatingOccupancyOnly -XX:+HeapDumpOnOutOfMemoryError -Delasticsearch -Des.pidfile=/var/run/elasticsearch.pid -Des.path.home=/usr/share/elasticsearch -cp :/usr/share/elasticsearch/lib/elasticsearch-0.90.10.jar:/usr/share/elasticsearch/lib/*:/usr/share/elasticsearch/lib/sigar/* -Des.default.config=/etc/elasticsearch/elasticsearch.yml -Des.default.path.home=/usr/share/elasticsearch -Des.default.path.logs=/var/log/elasticsearch -Des.default.path.data=/var/lib/elasticsearch -Des.default.path.work=/tmp/elasticsearch -Des.default.path.conf=/etc/elasticsearch org.elasticsearch.bootstrap.ElasticSearch