Extraño proceso 'agetty' ejecutándose en mi VPS.

Question

Extraño proceso 'agetty' ejecutándose en mi VPS.

#1 de domen (5 votos)
#2 de nuiun (2 votos)

3

Recientemente, tuve que reinstalar uno de mis servidores de VPS (de nuevo), debido al malware. Tomé lo que consideré como bastante buenas precauciones de seguridad. También bloqueé la cuenta de root y estoy usando sudo también. Pero un día después, inicié sesión y noté que el programa 'agetty' se estaba ejecutando en varios TTY:

root       382  0.0  0.0  12600   292 tty3     Ss+  Jun21   0:00 /sbin/agetty --noclear tty3 linux
root       383  0.0  0.0  12600   292 tty2     Ss+  Jun21   0:00 /sbin/agetty --noclear tty2 linux
root       384  0.0  0.0  12600   292 tty5     Ss+  Jun21   0:00 /sbin/agetty --noclear tty5 linux
root       385  0.0  0.0  12600   292 tty6     Ss+  Jun21   0:00 /sbin/agetty --noclear tty6 linux
root       386  0.0  0.0  12600   292 tty4     Ss+  Jun21   0:00 /sbin/agetty --noclear tty4 linux
root       387  0.0  0.0  12600   296 tty1     Ss+  Jun21   0:00 /sbin/agetty --noclear --keep-baud console 115200 38400 9600 vt102

Al parecer, agetty es un "getty alternativo" que se utiliza para acceder a un sistema a través de una consola serie, o al menos eso es lo que yo entiendo. Así que parece que no hay una razón legítima para que estos procesos se ejecuten en mi servidor. Le envié un correo electrónico a mi proveedor al respecto, y me dijeron que a menos que configurara esto, no debería estar ejecutándose, y que no tiene nada que ver con sus sistemas. Eso me lleva a pensar que alguien está intentando piratear mi servidor (otra vez).

Tengo algunas preguntas. Primero, ¿hay alguna razón legítima por la que estoy viendo estos procesos? Segundo, ¿qué significan estas opciones: --keep-baud console 115200 38400 9600 vt102 ? No pude entender completamente lo que está pasando al leer las páginas de manual o de cualquier cosa que haya encontrado en línea. ¿Es posible que alguien haya logrado obtener una consola de inicio de sesión en mi servidor y esté tratando de forzar una fuerza bruta para obtener un shell? Revisé el auth.log y el syslog y no encontré nada que indicara tal actividad.

Supongo que solo estoy tratando de averiguar qué es este proceso, y si es malicioso, ¿cómo puedo matarlo? Reiniciar la máquina no funcionó ... Cualquier consejo sería apreciado.

attacks network

pregunta nemister 24.06.2015 - 08:46

fuente

2 respuestas

Lea otras preguntas en las etiquetas attacks network

Versiones múltiples del certificado de firma SSL Me enamoré de un ataque de phishing. ¿Qué debería hacer ahora?

score 5 · Answer 1

Esas son las "consolas" o terminales virtuales (VT) predeterminadas de Linux, Alt + F1-F6. No recuerdo haber visto un sistema que no los tenía instalados de forma predeterminada.

Los deshabilitarías eliminándolos de tus scripts init / systemd / upstart / whatever. La documentación para su distribución de Linux probablemente lo menciona.

score 2 · Answer 2

(su sistema usa systemd si al ingresar el comando ps -A muestra systemd con PID 1 )

Si su sistema operativo utiliza systemd :

tty1 fue instanciado por el comando

/sbin/agetty --noclear --keep-baud console 115200 38400 9600 vt102

como se muestra en su extracto ps -A . tty1 siempre se inicia en el inicio. ¿Por qué? Vea la publicación de Lennart Poettering " systemd para Administrators, Parte XVI: Gettys en consolas de serie (y en otros lugares) " donde escribe la explicación (VT significa Terminal virtual; Lennart Poettering es uno de los desarrolladores de systemd ):

La lógica de auto-generación maneja especialmente dos VT: en primer lugar, tty1 recibe un tratamiento especial: si iniciamos el modo gráfico, el administrador de pantalla toma posesión de este VT. Si iniciamos el modo multiusuario (texto), se inicia un getty en él, incondicionalmente, sin ninguna lógica bajo demanda [2].

[2] Tenga en cuenta que si el getty en VT1 se inicia a pedido o no, apenas marca una diferencia, ya que VT1 es el VT activo predeterminado de todos modos, por lo que la demanda está de todos modos al inicio.

Para otros tty<N> : puede verificar si hay un servicio tty configurado ingresando:

systemctl is-enabled getty@tty<N>.service

Donde <N> debe reemplazarse con el número de identificación tty (por ejemplo, tty2 ).

Si el cheque anterior se imprimió Failed to get unit file state for getty@tty<N>.service: No such file or directory , el servicio no está habilitado. Si la verificación anterior imprimió el mensaje enabled , puede desactivar el servicio tty ingresando:

systemctl disable getty@tty<N>.service

Puedes habilitarlo nuevamente con:

systemctl enable getty@tty<N>.service