Dziwna usługa o nazwie „Carbon” działa codziennie i zajmuje 100% procesora

31

Przez ostatnie kilka tygodni na moim serwerze testowym Ubuntu była dziwna aktywność. Sprawdź poniższy zrzut ekranu z htopa. Każdego dnia ta dziwna usługa (która wygląda jak usługa wydobywania kryptowaluty) działa i zajmuje 100% procesora. zrzut ekranu z htopa

Mój serwer jest dostępny tylko poprzez klucz ssh, a logowanie hasłem zostało wyłączone. Próbowałem znaleźć plik o tej nazwie, ale nie mogłem go znaleźć.

Czy możesz mi pomóc w rozwiązaniu poniższych problemów

  • Jak znaleźć lokalizację procesu na podstawie identyfikatora procesu?
  • Jak mogę to całkowicie usunąć?
  • Masz pomysł, jak to dostało się na mój serwer? Serwer uruchamia głównie wersję testową kilku wdrożeń Django.
Habib Ullah Bahar
źródło
17
Twój system został zainfekowany czymś, co nazywamy górnikiem monet .
LinuxSecurityFreak
3
To nie odpowiada na wszystkie twoje pytania, ale może być istotne: serverfault.com/questions/218005/…
dhag
1
Oto link opisujący działanie tego złośliwego oprogramowania bez plików. Na podstawie tej witryny uważam, że twój serwer musi zostać sformatowany: csoonline.com/article/3227046/malware/…
F.Jawad
3
Pamiętaj, że oprócz usunięcia tego problemu, co zwykle oznacza ponowną instalację, musisz również naprawić tę lukę . W przeciwnym razie wróci.
Gilles „SO- przestań być zły”
Proces ten jest przemianowaną wersją popularnego programu wydobywczego. Wydobywa Monero do puli xmr.crypto-pool.fr. Spójrz na długi ciąg zaczynający się od 4 na tej stronie, powinien on dawać ślad skali wydobycia atakującego.
Dmitry Kudriavtsev

Odpowiedzi:

31

Jak wyjaśniono w innych odpowiedziach, jest to złośliwe oprogramowanie, które wykorzystuje komputer do wydobywania kryptowalut. Dobra wiadomość jest taka, że ​​mało prawdopodobne jest, aby robić cokolwiek innego niż używać procesora i energii elektrycznej.

Oto trochę więcej informacji i co możesz zrobić, aby się z nimi odeprzeć, gdy się ich pozbędziesz.

Szkodnik wydobywa altcoin zwany monero do jednej z największych pul monero , crypto-pool.fr . Ta pula jest uzasadniona i prawdopodobnie nie będą źródłem złośliwego oprogramowania, nie zarabiają w ten sposób.

Jeśli chcesz zirytować każdego, kto napisał to złośliwe oprogramowanie, możesz skontaktować się z administratorem puli (na stronie pomocy w witrynie znajduje się wiadomość e-mail). Nie lubią botnetów, więc jeśli podasz im adres użyty przez złośliwe oprogramowanie (długi ciąg, który zaczyna się od 42Hr...), prawdopodobnie zdecydują się zawiesić płatności na ten adres, co sprawi, że życie hakera, który napisał ten kawałek Sh .. trochę trudniejsze.

To też może pomóc: jak zabić złośliwe oprogramowanie w instancji AWS EC2? (zainfekowany serwer)

assylias
źródło
6
Chociaż podoba mi się pomysł ukarania hakera, nie jestem pewien, czy poleciłbym to zrobić, gdy wspomniany haker ma oczywiście dostęp do komputera, ponieważ może wystąpić odwet. Radziłbym najpierw zabezpieczyć zasoby (kopie zapasowe!).
Matthieu M.
19

Zależy to od tego, ile kłopotów program stara się ukryć przed uruchomieniem. Jeśli to nie jest za dużo, to

  1. Zacznij od identyfikatora procesu 12583na zrzucie ekranu
  2. użyj ls -l /proc/12583/exei powinien dać ci symboliczny link do bezwzględnej nazwy ścieżki, którą można opatrzyć adnotacjami(deleted)
  3. sprawdź plik pod nazwą ścieżki, jeśli nie został usunięty. Zwróć uwagę w szczególności, jeśli liczba linków wynosi 1. Jeśli tak nie jest, musisz znaleźć inne nazwy pliku.

Ponieważ opisujesz to jako serwer testowy, prawdopodobnie lepiej będzie, jeśli zapiszesz jakiekolwiek dane i ponownie zainstalujesz. Fakt, że program działa jako root, oznacza, że ​​naprawdę nie możesz teraz ufać maszynie.

aktualizacja: Teraz wiemy, że plik znajduje się w / tmp. Ponieważ jest to plik binarny, istnieje kilka opcji, plik jest kompilowany w systemie lub jest kompilowany w innym systemie. Spojrzenie na czas ostatniego użycia sterownika kompilatora ls -lu /usr/bin/gccmoże dać ci wskazówkę.

Jako zatrzymanie, jeśli plik ma stałą nazwę, możesz utworzyć plik o tej nazwie, ale jest on chroniony przed zapisem. Sugerowałbym mały skrypt powłoki, który rejestruje wszystkie bieżące procesy, a następnie śpi przez długi czas na wypadek, gdyby uruchomione polecenie odrodziło zadanie. Użyłbym, chattr +i /tmp/Carbonjeśli twój system plików na to pozwala, ponieważ niewiele skryptów będzie wiedziało, jak radzić sobie z niezmiennymi plikami.

Ikar
źródło
3
Mogłem znaleźć absolutną ścieżkę w folderze / tmp. Wygląda więc na to, że tworzy go coś innego.
Habib Ullah Bahar
Pierwsze kilka kroków nie jest bardzo przydatne. Polegasz na tym, że autor szkodliwego oprogramowania jest niekompetentny. Niektóre z nich są, ale ten zarabia pieniądze, mogą zatrudnić kompetentnych programistów. Pamiętaj, że to złośliwe oprogramowanie nie ukrywa się zbyt dobrze.
Gilles „SO- przestań być zły”
1
@Gilles Zgadzam się, że polegam na tym, że autor nie stara się bardzo, jak powiedziałem w pierwszym zdaniu. Odpowiadam na pytanie w formie pisemnej, a nie ogólnej how do I remove malware from my server.
icarus
@icarus miara luki stop działała w porządku, dziękuję. Ale jak zalecają wszyscy, już zaczęto odbudowywać inny serwer od zera.
Habib Ullah Bahar
7

Wygląda na to, że twój serwer został przejęty przez złośliwe oprogramowanie wydobywcze BitCoin. Zobacz opublikowany wątek ServerFault @dhag. Ponadto ta strona zawiera wiele informacji na ten temat.

Wygląda na to, że nazywa się to „złośliwym oprogramowaniem bez plików” - nie można znaleźć działającego pliku wykonywalnego, ponieważ nie należy tego robić. Zużywa całą moc procesora, ponieważ używa go do wydobywania kryptowaluty.

Tanner Babcock
źródło
2
Zakładam, że wydobywa trochę alternatywnej monety, a nie samego bitcoina.
CodesInChaos
Strona z linkami na temat złośliwego oprogramowania bez plików wydaje się dotyczyć programu Windows, ale na tym serwerze działa Ubuntu.
icarus
3
To wydobywa Monero.
Dmitry Kudriavtsev