l’ordinateur
  1. l’ordinateur
  3. Pourquoi l'utilisateur de recherche élastique exécute-t-il un SSHD?
Intereting Posts
Transférer des messages électroniques entre différents profils Thunderbird Comment convertir une colonne de nombres en texte séparé par une virgule dans un ensemble de quatre Mise à jour de Windows 7 32 bits à 64 bits Comment puis-je arrêter Mac OS X sur mon nom d'hôte lorsque je reçois une requête DHCP sur Snow Leopard? Pour éviter une surchauffe, pourquoi ne pas mettre l'ordinateur portable à l'envers? Comment puis-je rejoindre deux réseaux domestiques simples en utilisant un câble ethernet? Linux sur UEFI – comment redémarrer à l'écran de configuration UEFI comme Windows 8 peut-il? NotePad ++ ne s'exécute que comme administrateur ou pas du tout Annulation manuelle des paramètres d'alimentation dans Windows 7 avec une stratégie de groupe en place Les e-mails Outlook sont envoyés mais stockés dans des projets (pas ce que vous pensez) Remplacer "la ressource est occupée" lorsque rm sur Mac OS X Terminal Prendre possession du disque dur ne révèle pas de fichiers Kali Linux ne peut pas trouver un ordinateur sur le réseau Autostart run_script lors du démarrage d'une machine Renvoyer des ensembles de données dans Excel (les deux avec des clés uniques)

Pourquoi l'utilisateur de recherche élastique exécute-t-il un SSHD?

Mon réseau domestique est souvent en panne et j'ai réduit le problème dans ma boîte Ubuntu. 

$ ps -ef | grep elastic elastic+ 11183 1 0 8월10 ? 00:07:49 [.ECC6DFE919A382] eugenek+ 14482 14453 0 22:08 pts/19 00:00:00 grep elastic elastic+ 20208 1 0 8월07 ? 00:01:35 [.......] elastic+ 24398 1 0 8월08 ? 00:01:20 [SSHD] elastic+ 24745 1 4 10:44 ? 00:27:29 /tmp/.Udelo elastic+ 27895 1 0 8월09 ? 00:00:47 [.......] elastic+ 28652 1 0 8월09 ? 00:00:46 [.......] elastic+ 31127 1 0 8월09 ? 00:00:41 [.......] elastic+ 31223 1 0 8월07 ? 00:01:34 [.......] elastic+ 31460 1 0 19:23 ? 00:00:02 [freeBSD]

Elastic + is elasticsearch user qui est créé lorsque je configure le serveur elasticsearch.

Cela paraît-il étrange? Ou sont-ils des processus réguliers gérés par la recherche élastique?

MODIFIER

J'ai également trouvé cela … Donc, il semble sévère que ce que le kmac a suggéré à l'origine?

116.10.191.177 n'est pas quelqu'un que je connais, c'est de la Chine …

Entrez la description de l'image ici

C'est probablement un logiciel malveillant utilisant un exploit dans la recherche élastique ou java.

J'ai couru sur le même problème où mon utilisateur tomcat7 est compromis et il y a les mêmes processus que ceux que vous avez.

Il devrait y avoir les fichiers suivants (ou similaires) dans votre dossier / tmp appartenant à un élastique + 

 .ECC6DFE919A382BADRR1A8CDFC9FB43AA0 zzt.pl

Et peut-être 

 mysql1

Une fois compromis, la machine sera utilisée pour les attaques DDOS, généralement sur le port UDP 80.

Pour nettoyer, tuer les processus offensants et supprimer tous les fichiers offensants dans / tmp. Cela accélérera votre machine pour l'instant, mais n'importe quelle vulnérabilité est exploitée peut encore être utilisée pour accéder à votre machine à nouveau. En creusant un peu plus, cela ressemble à un correctif pour script.disable_dynamic: true peut ajouter script.disable_dynamic: true à elasticsearch.yml. Encore aucun problème pour Tomcat …

Assurez-vous que l'utilisateur élastique + n'a pas d'accès root ou des privilèges élevés car ils pourraient utiliser ceux pour exploiter votre boîte encore plus.

Cet exploit a éclaté à la fin de juillet et je n'ai pu trouver l'information sur les forums chinois. En utilisant google traduit, j'ai de bonnes informations, mais je n'ai toujours pas de solution.

Voici le lien avec certaines informations, ils mentionnent maintenant la recherche élastique ainsi que Tomcat: http://my.oschina.net/abcfy2/blog/292159

METTRE À JOUR

Pour l'exploit de Tomcat, j'ai découvert que l'exploit utilisé pourrait être une vulnérabilité struts2. Je vous recommande de mettre à jour la dernière version de struts2.

Je suis sur la version 0.90.10 et je n'ai pas SSHD en cours d'exécution élastique +. 

 ~$ ps -ef | grep elastic nonroot 1647 1627 0 10:24 pts/0 00:00:00 grep --color=auto elastic elastic+ 5322 1 1 May09 ? 1-02:38:50 /usr/lib/jvm/java-7-openjdk-amd64//bin/java -Xms256m -Xmx1g -Xss256k -Djava.awt.headless=true -XX:+UseParNewGC -XX:+UseConcMarkSweepGC -XX:CMSInitiatingOccupancyFraction=75 -XX:+UseCMSInitiatingOccupancyOnly -XX:+HeapDumpOnOutOfMemoryError -Delasticsearch -Des.pidfile=/var/run/elasticsearch.pid -Des.path.home=/usr/share/elasticsearch -cp :/usr/share/elasticsearch/lib/elasticsearch-0.90.10.jar:/usr/share/elasticsearch/lib/*:/usr/share/elasticsearch/lib/sigar/* -Des.default.config=/etc/elasticsearch/elasticsearch.yml -Des.default.path.home=/usr/share/elasticsearch -Des.default.path.logs=/var/log/elasticsearch -Des.default.path.data=/var/lib/elasticsearch -Des.default.path.work=/tmp/elasticsearch -Des.default.path.conf=/etc/elasticsearch org.elasticsearch.bootstrap.ElasticSearch