KeyHelp Community

Hallo,

vor kurzem ist mir aufgefallen, dass ich in htop mehrere Zeilen folgender Art habe, die auch die CPU belasten.

 ./nmap -T4 --defeat-rst-ratelimit --reason -PN -sS -p0-65535 -sC -sV -oN /dev/shm/nmap/n0_0b5befbe-xxxx-yyyy-9c86-ced567865927.log gefolgt von 7 bis 8 öffentlichen IPs

Macht das Keyhelp und ist das ok? Ich habe noch andere Sachen auf dem Keyhelp VPS laufen, so dass ich Bedenken habe, dass da etwas aus dem Ruder läuft.

Gruß Otto

Nein, Keyhelp macht das nicht.

nmap ist ein Tool um Netzwerke zu analysieren, offene Ports zu scannen etc.pp ( https://de.wikipedia.org/wiki/Nmap )

Wenn Du nichts dergleichen selber gestartet hast und auch kein Tool im Einsatz hast, was das starten könnte (das wäre durchaus denkbar, dass andere Tools das im Hintergrund nutzen - im Wikipedia-Artikel wird ja auch Nessus erwähnt) würde ich mir sorgen machen, dann besteht die Möglichkeit, dass der Server gehackt wurde und dazu genutzt wird, Angriffe auf andere Systeme zu fahren

Vielen Dank,

das Dumme ist nur, dass alles im Verzeichnis /dev/shm/nmap scheinbar keyhelp gehört.

Code: Select all

root@vmd:/dev/shm# ls -lh
total 0
drwxr-xr-x 4 root root 880 Dec 28 11:03 nmap
root@vmd:/dev/shm# cd nmap
root@vmd:/dev/shm/nmap# ls -lh
total 28M
-rw-r--r-- 1 root    root       0 Dec 28 01:40 n0_0b5befbe-xxxx-yyyy-9c86-ced567865927.log
........................................................................................
-rw-r--r-- 1 root    root       0 Dec 28 01:39 n0_ee658830-yyyy-yyyy-a1e0-353aa8d5bcda.log
-rwxr-xr-x 1 keyhelp keyhelp  17M Dec 21 03:53 nmap
-rw-r--r-- 1 keyhelp keyhelp  11K Dec 21 03:53 nmap.dtd
-rw-r--r-- 1 keyhelp keyhelp 1.1M Dec 21 03:53 nmap-mac-prefixes
-rw-r--r-- 1 keyhelp keyhelp 4.8M Dec 21 03:53 nmap-os-db
-rw-r--r-- 1 keyhelp keyhelp 6.6K Dec 21 03:53 nmap-protocols
-rw-r--r-- 1 keyhelp keyhelp  43K Dec 21 03:53 nmap-rpc
-rw-r--r-- 1 keyhelp keyhelp 2.4M Dec 21 03:53 nmap-service-probes
-rw-r--r-- 1 keyhelp keyhelp 982K Dec 21 03:53 nmap-services
-rw-r--r-- 1 keyhelp keyhelp  32K Dec 21 03:53 nmap.xsl
drwxr-xr-x 3 keyhelp keyhelp 2.8K Dec 20 01:49 nselib
-rw-r--r-- 1 keyhelp keyhelp  49K Dec 21 03:53 nse_main.lua
drwxr-xr-x 2 keyhelp keyhelp  12K Dec 20 01:49 scripts
root@vmd:/dev/shm/nmap#

Ich habe keine Ahnung, was ich jetzt machen könnte. Ich hatte aus dem Grund schon den Server neu installiert, aber es ist alles wie vorher.

So sieht es auf einer Testinstanz von mir aus:

Code: Select all

root@testvm:~# cd /dev/shm
root@testvm:/dev/shm# ls -al
insgesamt 0
drwxrwxrwt  2 root root   40 25. Dez 13:37 .
drwxr-xr-x 14 root root 2960 25. Dez 13:37 ..
root@testvm:/dev/shm#

Bei mir ist kein Subfolder 'nmap' vorhanden.

otto58 wrote: ↑Wed 28. Dec 2022, 14:29 Ich hatte aus dem Grund schon den Server neu installiert, aber es ist alles wie vorher.

Hast du auf einem frischen System nur KeyHelp installiert oder noch weitere Sachen?

Schau auch mal in TOP/HTOP, welcher User den Prozeß gestartet hat.

Danke erstmal,

ich werde mal versuchen rauszubekommen, wann das Verzeichnis nmap entsteht und ggf. die Installationsreihenfolge ändern.

Gruß Otto

Mal so in den Raum geworfen...
Wird die KH Pro genutzt ?
Weil dann würde ich eventuel davon ausgehen, dass es für die Lizenz genutzt wird.
Allerdings bleibt mir bei der Idee die Frage, warum es "dauerhaft" läuft obwohl sporadisch (alle X Tage) reichen würde.

Wie gesagt, einfach nur in den Raum geworfen die Annahme.

OlliTheDarkness wrote: ↑Wed 28. Dec 2022, 17:24 Mal so in den Raum geworfen...
Wird die KH Pro genutzt ?
Weil dann würde ich eventuel davon ausgehen, dass es für die Lizenz genutzt wird.
Allerdings bleibt mir bei der Idee die Frage, warum es "dauerhaft" läuft obwohl sporadisch (alle X Tage) reichen würde.

Wie gesagt, einfach nur in den Raum geworfen die Annahme.

Auf meiner Kiste mit KH pro ist nmap nicht drauf.

Und warum sollte man Lizenzmanagement mit einem Portscanner machen?

Ich tippe eher auf Malware.

Was sagt "last"? Auffällige Logins?

Edit: Und ich würde mal schauen, ob in /tmp, /roor oder /var auffällige Dotfiles/Folders sind.

Hallo nochmal,

das Problem ist wahrscheinlich gelöst. Ich habe die etwa 20 Prozesse in Keyhelp gekilled und nach einem Reboot startet nichts mehr und das Verzeichnis shm ist leer.
Das ganze stammt wohl von einer anderen Software, bei deren Start nach Seed-Servern gesucht wird. Da hat sich wohl Keyhelp eingebracht und den Vorgang am Leben gehalten. Auf der alten Installation hatte ich es nur mit Reboots versucht und da kamen die Prozesse nach ein paar Stunden immer wieder. Jetzt habe ich schon 2 Tage Ruhe.

Gruß Otto

Grüße,

KeyHelp installiert weder nmap, noch nutzt es dessen Funktionalität. Es wird auch nicht geprüft, ob es installiert ist, noch wird es durch KeyHelp 'am Leben' gehalten.

LG
Alex

Zur Ergänzung nmap war bei mir nicht installiert, d.h. kein "remove" möglich, aber ein "install".
Welcher Erklärung könnte es denn für den geposteten code im dritten Beitrag geben?

Gruß
Otto

Hier kann ich nur spekulieren.

Code: Select all

# Wechsel zum KeyHelp User
su keyhelp

# Beliebige Operation durchführen, die das Ablegen von Daten in das Verzeichnis zur Folge hat
touch /dev/shm/test

# ls -la /dev/shm/
drwxrwxrwt  2 root    root      60 Jan  2 10:34 .
drwxr-xr-x 19 root    root    4000 Dez  1 10:14 ..
-rw-rw-r--  1 keyhelp keyhelp    0 Jan  2 10:34 test

Hallo,

wenn es unter /dev/shm liegt kann man davon ausgehen, dass es eingeschleuster Mist ist, das ist nämlich ein bevorzugter Ort dafür. Der Name nmap wird nur genommen um es zu verschleiern

KeyHelp Community

nmap normal?

nmap normal?

Re: nmap normal?

Re: nmap normal?

Re: nmap normal?

Re: nmap normal?

Re: nmap normal?

Re: nmap normal?

Re: nmap normal?

Re: nmap normal?

Re: nmap normal?

Re: nmap normal?

Re: nmap normal?