Strano processo "agetty" in esecuzione sul mio VPS.

Naviga le tue risposte
3

Recentemente, ho dovuto reinstallare uno dei miei server VPS (di nuovo), a causa di malware. Ho preso quelle che considero essere delle buone precauzioni di sicurezza. Ho anche bloccato l'account root e sto usando anche sudo. Ma un giorno dopo, ho effettuato l'accesso e ho notato che il programma "agetty" era in esecuzione su diversi TTY: 

root       382  0.0  0.0  12600   292 tty3     Ss+  Jun21   0:00 /sbin/agetty --noclear tty3 linux
root       383  0.0  0.0  12600   292 tty2     Ss+  Jun21   0:00 /sbin/agetty --noclear tty2 linux
root       384  0.0  0.0  12600   292 tty5     Ss+  Jun21   0:00 /sbin/agetty --noclear tty5 linux
root       385  0.0  0.0  12600   292 tty6     Ss+  Jun21   0:00 /sbin/agetty --noclear tty6 linux
root       386  0.0  0.0  12600   292 tty4     Ss+  Jun21   0:00 /sbin/agetty --noclear tty4 linux
root       387  0.0  0.0  12600   296 tty1     Ss+  Jun21   0:00 /sbin/agetty --noclear --keep-baud console 115200 38400 9600 vt102

Apparentemente agetty è una "getty alternativa" che viene utilizzata per accedere a un sistema tramite una console seriale, o almeno questo è ciò che capisco. Quindi sembra che non ci sia alcun motivo legittimo per questi processi in esecuzione sul mio server. Ho mandato un'email al mio fornitore e ho detto che, a meno che non avessi configurato questo, non dovrebbe essere in esecuzione e che non ha nulla a che fare con i loro sistemi. Questo mi porta a pensare che qualcuno stia tentando di hackerare il mio server (di nuovo).

Ho qualche domanda. Innanzitutto, esiste una ragione legittima per cui vedo questi processi? Secondo, cosa significano queste opzioni: --keep-baud console 115200 38400 9600 vt102 ? Non ero in grado di comprendere appieno quello che succede leggendo le pagine man o da qualsiasi cosa ho trovato online. È possibile che qualcuno sia riuscito a ottenere una console di accesso al mio server e stia cercando di implementare la bruteforce per ottenere una shell? Ho controllato auth.log e syslog e non ho trovato nulla che indicasse tale attività.

Suppongo che sto solo cercando di capire che cos'è questo processo e, se è malizioso, come posso ucciderlo? Il riavvio della macchina non ha funzionato ... Qualsiasi consiglio sarebbe apprezzato.

    
posta nemister 24.06.2015 - 08:46
fonte

2 risposte

5

Quelle sono console "Linux" predefinite o terminali virtuali (VT), Alt + F1-F6. Non ricordo di aver visto un sistema che non li aveva installati di default.

Li disabiliterai rimuovendoli dal tuo init / systemd / upstart / qualunque script. La documentazione per la tua distribuzione Linux lo menziona probabilmente.

    
risposta data 24.06.2015 - 10:47
fonte
2

(il tuo sistema usa systemd se inserisci il comando ps -A mostra systemd con PID 1 )

Se il tuo sistema operativo utilizza systemd :

tty1 è stato istanziato dal comando 

/sbin/agetty --noclear --keep-baud console 115200 38400 9600 vt102

come mostra l'estratto di ps -A . tty1 è sempre avviato all'avvio. Perché? Vedi il post di Lennart Poettering " systemd per amministratori, parte XVI: Gettys su console seriali (e altrove) " dove scrive la spiegazione (VT significa Virtual Terminal, Lennart Poettering è uno degli sviluppatori di systemd ):

Two VTs are handled specially by the auto-spawning logic: firstly tty1 gets special treatment: if we boot into graphical mode the display manager takes possession of this VT. If we boot into multi-user (text) mode a getty is started on it -- unconditionally, without any on-demand logic[2].

[2] Note that whether the getty on VT1 is started on-demand or not hardly makes a difference, since VT1 is the default active VT anyway, so the demand is there anyway at boot.

Per altro tty<N> : puoi verificare se c'è un servizio tty configurato inserendo: 

systemctl is-enabled getty@tty<N>.service

Dove <N> deve essere sostituito con il numero di identificazione tty (ad esempio tty2 ).

Se il controllo precedente ha stampato Failed to get unit file state for getty@tty<N>.service: No such file or directory , il servizio non è abilitato. Se il controllo precedente ha stampato il messaggio enabled , è possibile disattivare il servizio tty inserendo: 

systemctl disable getty@tty<N>.service

Puoi abilitarlo di nuovo con: 

systemctl enable getty@tty<N>.service
    
risposta data 24.05.2016 - 12:03
fonte

Leggi altre domande sui tag

Sicurezza di ssh nidificato Che cos'è un albero delle minacce nella modellazione delle minacce?