🚨 Процесс с неизвестным именем грузит CPU на 25000%! Что происходит?
Привет, повелитель терминала! На одном из серверов Linux обнаружили странный процесс:
- Имя вроде
- Процесс запущен от
- CPU загружено на 25369% (!)
- Файл процесса уже удалён:
Это может быть майнер или вредоносная программа. Простое перезагружение не решает проблему: процесс появляется снова.
🔍 Что делать:
1. Проверить родителя процесса:
2. Узнать командную строку процесса:
3. Скопировать бинарник для анализа:
4. Безопасно изучить его содержимое:
5. Проверить открытые файлы:
6. Изучить логи на момент запуска процесса:
📌 Важно: при компрометации — лучше переустановить систему с чистого образа!
🌐 Источник: https://unix.stackexchange.com/questions/782519/high-cpu-usage-by-process-with-obfuscated-name-on-linux-server-potential-attac
📩 Завтра: Как узнать ВСЁ о железе и системе в Linux за 5 минут
Включи 🔔 чтобы не пропустить!
____________________
Дополнительный материал:
🧠 - Неожиданные секреты Linux: 12 утилит, которые спасут твой сервер!
🧠 - Открой для себя 15 малоизвестных команд LINUX, которые изменят твою жизнь
🧠 - Как удалить экспортированную переменную окружения в Linux?
#stackoverflow @LinuxSkill #Linux #Security #Malware #CPU #Root
Привет, повелитель терминала! На одном из серверов Linux обнаружили странный процесс:
- Имя вроде
89cdb92b, потом меняется на другое (ac1e4262)- Процесс запущен от
root- CPU загружено на 25369% (!)
- Файл процесса уже удалён:
/proc/<PID>/exe → (deleted)Это может быть майнер или вредоносная программа. Простое перезагружение не решает проблему: процесс появляется снова.
🔍 Что делать:
1. Проверить родителя процесса:
pstree -sap <PID>
2. Узнать командную строку процесса:
ps -o args -p <PID>
3. Скопировать бинарник для анализа:
cp /proc/<PID>/exe /tmp/suspect_binary
4. Безопасно изучить его содержимое:
strings /tmp/suspect_binary
5. Проверить открытые файлы:
lsof -p <PID>
6. Изучить логи на момент запуска процесса:
journalctl -S 'YYYY-mm-dd HH:MM'
📌 Важно: при компрометации — лучше переустановить систему с чистого образа!
🌐 Источник: https://unix.stackexchange.com/questions/782519/high-cpu-usage-by-process-with-obfuscated-name-on-linux-server-potential-attac
📩 Завтра: Как узнать ВСЁ о железе и системе в Linux за 5 минут
Включи 🔔 чтобы не пропустить!
____________________
Дополнительный материал:
🧠 - Неожиданные секреты Linux: 12 утилит, которые спасут твой сервер!
🧠 - Открой для себя 15 малоизвестных команд LINUX, которые изменят твою жизнь
🧠 - Как удалить экспортированную переменную окружения в Linux?
#stackoverflow @LinuxSkill #Linux #Security #Malware #CPU #Root
Unix & Linux Stack Exchange
High CPU usage by process with obfuscated name on Linux server – Potential attack?
We have been experiencing high load issues on our Linux server recently. Upon checking with the
top
command, we noticed an unknown process with a garbled command name (as shown in following images;
top
command, we noticed an unknown process with a garbled command name (as shown in following images;
👍22
⚠️ Эта команда Docker даёт хакеру права root на хосте
Привет, цифровой архитектор!
Флаг
Используйте принцип минимальных привилегий (least privilege), отключая ненужные возможности ядра (capabilities).
1. Почему
Запуск контейнера в привилегированном режиме позволяет ему смонтировать корневую файловую систему хоста или получить уровень контроля, аналогичный процессам хоста.
2. Принцип минимальных привилегий (Least Privilege)
Если контейнеру не нужны все возможности
3. Запуск от имени непривилегированного пользователя
Если приложение не требует привилегий
💡 Вывод:
Флаг
#DevOps #Docker #Безопасность #root #CLI #Privileges
Привет, цифровой архитектор!
Флаг
--privileged в Docker — это прямая угроза безопасности. Он даёт контейнеру доступ ко всем устройствам хоста и может обеспечить злоумышленнику права root.Используйте принцип минимальных привилегий (least privilege), отключая ненужные возможности ядра (capabilities).
1. Почему
--privileged — это опасно?Запуск контейнера в привилегированном режиме позволяет ему смонтировать корневую файловую систему хоста или получить уровень контроля, аналогичный процессам хоста.
# Опасная команда: получает полный доступ к хост-системе
docker run --rm -v /:/host -t -i debian bash
root@e51ae86c5f7b:/# cd /host
root@e51ae86c5f7b:/host# ls bin dev home
# Атакующий видит корневую ФС хоста, включая /bin, /dev, /etc, /root.
2. Принцип минимальных привилегий (Least Privilege)
Если контейнеру не нужны все возможности
root (которые являются комбинацией 40 отдельных CAP_ возможностей Linux), их следует отключить. Docker по умолчанию и так удаляет многие возможности.# Сброс всех возможностей и добавление только необходимых
# CAP_NET_BIND_SERVICE нужна для привязки к портам ниже 1024
docker run --cap-drop all --cap-add NET_BIND_SERVICE alpine:latest sh
# Пример удаления опасных возможностей SUID/SGID
docker run -it --rm --cap-drop SETUID --cap-drop SETGID ...
# Дополнительное ограничение: запрет на получение новых привилегий
docker run --security-opt=no-new-privileges ubuntu bash
3. Запуск от имени непривилегированного пользователя
Если приложение не требует привилегий
root, оно не должно от него запускаться. Это предотвращает повышение привилегий (privilege escalation) в случае взлома.# В Dockerfile: переключаем пользователя
RUN groupadd -r app_grp && useradd -r -g app_grp app
USER app
💡 Вывод:
Флаг
--privileged следует избегать. Используй --cap-drop и USER в Dockerfile, чтобы контейнер не получил прав root на хосте, даже если его взломают.#DevOps #Docker #Безопасность #root #CLI #Privileges
👍8