Komischer Traffic von kauditd0 und edac0 › Sicherheit › Fortgeschrittene Themen › Forum › ubuntuusers.de

Komischer Traffic von kauditd0 und edac0

« Vorherige1Nächste »

Status: Gelöst | Ubuntu-Version: Server 22.04 (Jammy Jellyfish)
Antworten |

Ziedden Anmeldungsdatum: 28. August 2022 Beiträge: 6	Zitieren 27. Februar 2025 20:17 Hallo, ich habe ein Problem: Einer meiner Server weist sehr komischen Traffic auf. Er versuche permanent all mögliche Server zu kontaktieren. Obwohl er grade Offline ist. (Port 442,22.80.443) Logs vom Provider sprechen von Brute Force. Allerdings kann ich den aktiven Prozess nicht einordnen. Folgende Prozesse sind damit in Verbindung: kauditd0 und edac0. Auf dieses Server laufen auch VM's über Virtual Box aber deren IP's weisen nur den normalen Traffic auf (Versuchen grade nur einen DNS Server über Port 53 zu finden.) Hatte jemand schonmal das Problem und kann mir sagen wo sich die Malware versteckt? Danke in Voraus. Gruß Nico
Mylin Anmeldungsdatum: 23. Juli 2024 Beiträge: 494	Zitieren 27. Februar 2025 20:57 Unter welchem Benutzer laufen die Prozesse? Läuft auf dem System eine MongoDB?
Ziedden (Themenstarter) Anmeldungsdatum: 28. August 2022 Beiträge: 6	Zitieren 27. Februar 2025 21:04 Mylin schrieb: Unter welchem Benutzer laufen die Prozesse? Läuft auf dem System eine MongoDB? Diese Laufen unter ein selbst angelegten Benutzer.
Ziedden (Themenstarter) Anmeldungsdatum: 28. August 2022 Beiträge: 6	Zitieren 27. Februar 2025 21:08 Mylin schrieb: Unter welchem Benutzer laufen die Prozesse? Läuft auf dem System eine MongoDB? Danke darauf bin ich nicht gekommen. Laufende Prozesse: - /usr/StorMan/pegagus/cimprovagt - sshd@notty - kauditd0 - edac0 - weitere scripts
Mylin Anmeldungsdatum: 23. Juli 2024 Beiträge: 494	Zitieren 4. März 2025 12:02 @Ziedden Du hast als gelöst markiert, kannst du bitte deine Erkenntnisse mit uns teilen?!
gantim Anmeldungsdatum: 22. Oktober 2023 Beiträge: 79	Zitieren 16. Oktober 2025 08:24 Da Ziedden bisher nicht antwortet und andere das gleiche Problem haben können, möchte ich an dieser Stelle (aufgrund eines Vorfalls bei mir, ich hatte einen ftp-User mit einem schwachen Passwort) anmerken: Der Prozess kauditd0 wird von Angreifern verwendet, um Cryptomining durchzuführen. Hier wurde wahrscheinlich ein erfolgreicher Brute-Force-Angriff auf das Passwort des Users durchgeführt. Auffällig: Hoher Traffic auf Port 22, maximale CPU-Auslastung, Name des Prozesses klingt nach Kernel, läuft aber unter dem User und nicht als root. Aktionen (mindestens): Passwort des Users ändern .ssh/authorized_keys des Users neue Einträge löschen crontab des Users säubern Home-Verzeichnis des Users durchsehen und mindestens die Verzeichnisse, die zum Zeitpunkt des ersten erfolgreichen unerwünschten Logins entstanden sind, entfernen /tmp-Verzeichnis löschen Künftig auch für Tests oder ftpuser keine schwachen Passwörter verwenden, sofern etwas öffentlich erreichbar ist Habe ich etwas vergessen?

« Vorherige1Nächste »

Antworten |

« Vorheriges Thema Nächstes Thema »