Jenkins uruchamia szkodliwe(?) oprogramowanie

[bartoszek]

Mój pierwszy post tutaj, więc witam wszystkich!

Opis problemu:
Na domowym serwerze mam kilka maszyn wirtualnych z zainstalowanymi usługami. Na jeden takiej maszynie jest postawione ubuntu 15.04 na którym uruchomiony jest Jenkins (wiem że to forum debiana ale niestety forum ubuntu jest zamknięte, więc postanowiłem napisać na forum systemu pokrewnego, poza tym i tak raczej nie system ma tu znaczenie). Niestety okazało się ostatnio, że ów Jenkins w katalogu /var/lib/jenkins tworzy i uruchamia program który:

1. Zajmuje 100% czasu procesora
2. Wysyła ciągle pakiety UDP (wszystkie takiej samej wielkości) do jakiś dziwnych lokalizacji (np usa), przez kilka dni wysłał ponad 170GB danych!
3. Ma losową nazwę składającą się kilku liter.
4. Program po zabiciu i usunięciu z dysku po jakimś czasie (zazwyczaj dzień dwa) "powraca" pod inną nazwą
5. Data stworzenie pliku jest z przeszłości przez użytkownika jenkins, sam program też jest uruchamiany przez jenkinsa

Nie wiem co to jest i co dokładnie wysyła, nie wiem czy to jest wirus, czy jakiś inny crap. Sam system to czyste ubuntu z jenkinsem i pakietami które są wymagane przy moim projekcie. Może i działanie tego programu by mi nie przeszkadzało tak bardzo gdyby nie fakt że podczas jego działania, sieć domowa staje się kompletnie nienadająca się do użycia (tych pakietów jest tak dużo że router nie daje rady ich trasować!)

Pytanie, co zrobić aby się tego pozbyć? Jakie informacje mam podać, aby pomóc wam w znalezieniu rozwiązania?

Pozdrawiam,
Bartoszek

[marcin1982]

Proszę czytać opisy działów przed założeniem wątku ...

[LordRuthwen]

Serwer był wystawiony w świat? Bo jak dla mnie to przez dziurę w jenkinsie (jenkinsa masz aktualnego?) ktoś ci się tam wtrynił i teraz będziesz miał kolorowo, żeby to wywalić.
Przejrzyj logi, crona, procesy.

[bartoszek]

Dzięki za odpowiedź
Tak był wystawiony, bez jakiegokolwiek hasła, po włączeniu autoryzacji, problem ustąpił... przynajmniej przez ostatnie kilka dni
cron czysty, co do logów sprawdzę wszystko co się da jeżeli problem pojawi się ponownie

[LordRuthwen]

Monitoruj ruch do i z niego, bo możesz mieć tam małą niespodziankę.

[bartoszek]

Monitoruj ruch do i z niego, bo możesz mieć tam małą niespodziankę.

Jak dotąd dalej wszystko jest dobrze, mógłbyś podpowiedzieć jak dokładnie miałbym to zrobić?
Co monitorować?
Na jakim interfejsie? (Na gospodarzu, czy na virtualce?)
Jak odseparować własne połączenia od tych niechcianych?
ew. jak masz jakieś materiały / narzędzia to napisz, ułatwi mi to szukanie

Oraz jeżeli faktycznie jest to szkodliwe oprogramowanie, czy podejrzewasz jaki mógłby to być sposób ataku? Ktoś logował się na jenkinsa, dodawał zadanie, uruchamiał i wychodził? czy w jakiś inny sposób mógłby to zrobić?

Pozdrawiam

[LordRuthwen]

Jeśli masz jakąś starą wersję jenkinsa, to może zawierać błędy bezpieczeństwa i przez takie coś można się było wtarabanić. (nauczyłem się o to dbać gdy przyszło mi zapłacić 1200 pln rachunku za telefon :P )
Powiem Ci szczerze, że ja bym się w to nie bawił, tylko jeśli system jest niezbyt rozbudowany, to zaorałbym wirtualkę i postawił na nowo.
Ale jeśli chcesz się bawić, to chodzi o monitorowanie ruchu do vps-a czy co to tam masz, bo to o niego chodzi, a jak rozróżnić ruch zły od tego dobrego, to już Ty powinieneś wiedzieć co i do czego się może łączyć oraz skąd mniej więcej powinien przychodzić ruch.
Zawsze istnieje możliwość taka, że to był tylko brak autentykacji i proces budowy dla jenkinsa był tak zorganizowany, żeby coś się działo.

[bartoszek]

jenkins aktualny (zapomniałem o tym wspomnieć wcześniej, mój błąd) a sam system rozbudowany nie jest, dziele specjalnie wszystko na "mniejsze" maszyny po to właśnie żeby można było nimi prościej zarządzać.
Jeśli nic się nie zmieni to zostawiam wszystko jak jest, jedynie co pozamykam porty na FW. Dzięki za pomoc.