Дивний сервіс із назвою “Carbon” працює щодня і займає 100% процесора

Останні кілька тижнів на моєму тестовому сервері Ubuntu спостерігалася дивна активність. Перевірте наведений нижче знімок екрана з htop. Щодня ця дивна послуга (яка, схоже, послуга видобутку криптовалют) працює і займає 100% процесора.

Мій сервер доступний лише через ключ ssh, а вхід пароля вимкнено. Я спробував знайти будь-який файл з цим ім'ям, але не зміг його знайти.

Чи можете ви мені допомогти з наведеними нижче питаннями

• Як знайти місце розташування процесу з ідентифікатора процесу?
• Як я повністю видалити це?
• Будь-яка ідея, як це може потрапити на мій сервер? Сервер працює в основному тестовою версією декількох розгортань Django.

Як пояснено в інших відповідях, це зловмисне програмне забезпечення, яке використовує ваш комп'ютер для видобутку криптовалют. Хороша новина полягає в тому, що навряд чи ви робите щось інше, ніж використовувати ваш процесор та електроенергію.

Ось трохи більше інформації, і що ви можете зробити, щоб відбити, як тільки ви позбулися від неї.

Зловмисне програмне забезпечення видобуває альткойн під назвою monero до одного з найбільших пулів monero - crypto-pool.fr . Цей пул є законним, і вони навряд чи стануть джерелом зловмисного програмного забезпечення. Це не те, як вони заробляють гроші.

Якщо ви хочете дратувати того, хто написав це зловмисне програмне забезпечення, ви можете зв’язатися з адміністратором пулу (на сторінці підтримки їхнього веб-сайту є електронний лист). Вони не люблять ботнетів, тому якщо ви повідомлите їм адресу, яку використовує зловмисне програмне забезпечення (довга рядок, яка починається з 42Hr...), вони, ймовірно, вирішать призупинити платежі за цією адресою, яка зробить життя хакера, який написав цю частину ш .. трохи складніше.

Це може допомогти також: Як я можу вбити шкідливе програмне забезпечення minerd в екземплярі AWS EC2? (компрометований сервер)

Це залежить від того, скільки проблем укладається програма, щоб приховати, звідки вона запущена. Якщо його не надто багато, то

1. Почніть з ідентифікатора процесу 12583на скріншоті
2. Використовуйте, ls -l /proc/12583/exeі це повинно надати вам символьне посилання на абсолютне ім'я шляху, яке може бути помічено(deleted)
3. вивчіть файл на ім'я шляху, якщо він не був видалений. Зокрема, зверніть увагу, якщо кількість посилань дорівнює 1. Якщо це не так, вам потрібно буде знайти інші назви файлу.

Оскільки ви описуєте це як тестовий сервер, вам, ймовірно, краще, зберігаючи будь-які дані та перевстановлюючи. Те, що програма працює як root, означає, що ви зараз не можете довіряти машині.

оновлення: Тепер ми знаємо, що файл знаходиться в / tmp. Оскільки це двійковий файл, є кілька варіантів, файл збирається в системі або він компілюється в іншій системі. Погляд на останній час використання драйвера компілятора ls -lu /usr/bin/gccможе дати вам підказку.

Як зупинка, якщо файл має постійне ім'я, ви можете створити файл з цим ім'ям, але захищений від запису. Я б запропонував невеликий скрипт оболонки, який записує всі поточні процеси, а потім довго спить, на всякий випадок, якщо все, що працює, команда відновить завдання. Я би використовував, chattr +i /tmp/Carbonякщо ваша файлова система дозволяє це, оскільки мало сценаріїв знають, як поводитися з незмінними файлами.

Здається, ваш сервер був порушений шкідливим програмним забезпеченням майстра BitCoin. Дивіться посилання ServerFault @dhag розміщено. Також ця сторінка має багато інформації про неї.

Здається, що називається "безшпильне зловмисне програмне забезпечення" - ви не можете знайти запущений виконуваний файл, оскільки цього не потрібно. Він використовує всю вашу ємність процесора, оскільки він використовує його для видобутку криптовалюти.