Dziwna usługa o nazwie „Carbon” działa codziennie i zajmuje 100% procesora

Przez ostatnie kilka tygodni na moim serwerze testowym Ubuntu była dziwna aktywność. Sprawdź poniższy zrzut ekranu z htopa. Każdego dnia ta dziwna usługa (która wygląda jak usługa wydobywania kryptowaluty) działa i zajmuje 100% procesora.

Mój serwer jest dostępny tylko poprzez klucz ssh, a logowanie hasłem zostało wyłączone. Próbowałem znaleźć plik o tej nazwie, ale nie mogłem go znaleźć.

Czy możesz mi pomóc w rozwiązaniu poniższych problemów

• Jak znaleźć lokalizację procesu na podstawie identyfikatora procesu?
• Jak mogę to całkowicie usunąć?
• Masz pomysł, jak to dostało się na mój serwer? Serwer uruchamia głównie wersję testową kilku wdrożeń Django.

Jak wyjaśniono w innych odpowiedziach, jest to złośliwe oprogramowanie, które wykorzystuje komputer do wydobywania kryptowalut. Dobra wiadomość jest taka, że ​​mało prawdopodobne jest, aby robić cokolwiek innego niż używać procesora i energii elektrycznej.

Oto trochę więcej informacji i co możesz zrobić, aby się z nimi odeprzeć, gdy się ich pozbędziesz.

Szkodnik wydobywa altcoin zwany monero do jednej z największych pul monero , crypto-pool.fr . Ta pula jest uzasadniona i prawdopodobnie nie będą źródłem złośliwego oprogramowania, nie zarabiają w ten sposób.

Jeśli chcesz zirytować każdego, kto napisał to złośliwe oprogramowanie, możesz skontaktować się z administratorem puli (na stronie pomocy w witrynie znajduje się wiadomość e-mail). Nie lubią botnetów, więc jeśli podasz im adres użyty przez złośliwe oprogramowanie (długi ciąg, który zaczyna się od 42Hr...), prawdopodobnie zdecydują się zawiesić płatności na ten adres, co sprawi, że życie hakera, który napisał ten kawałek Sh .. trochę trudniejsze.

To też może pomóc: jak zabić złośliwe oprogramowanie w instancji AWS EC2? (zainfekowany serwer)

Zależy to od tego, ile kłopotów program stara się ukryć przed uruchomieniem. Jeśli to nie jest za dużo, to

1. Zacznij od identyfikatora procesu 12583na zrzucie ekranu
2. użyj ls -l /proc/12583/exei powinien dać ci symboliczny link do bezwzględnej nazwy ścieżki, którą można opatrzyć adnotacjami(deleted)
3. sprawdź plik pod nazwą ścieżki, jeśli nie został usunięty. Zwróć uwagę w szczególności, jeśli liczba linków wynosi 1. Jeśli tak nie jest, musisz znaleźć inne nazwy pliku.

Ponieważ opisujesz to jako serwer testowy, prawdopodobnie lepiej będzie, jeśli zapiszesz jakiekolwiek dane i ponownie zainstalujesz. Fakt, że program działa jako root, oznacza, że ​​naprawdę nie możesz teraz ufać maszynie.

aktualizacja: Teraz wiemy, że plik znajduje się w / tmp. Ponieważ jest to plik binarny, istnieje kilka opcji, plik jest kompilowany w systemie lub jest kompilowany w innym systemie. Spojrzenie na czas ostatniego użycia sterownika kompilatora ls -lu /usr/bin/gccmoże dać ci wskazówkę.

Jako zatrzymanie, jeśli plik ma stałą nazwę, możesz utworzyć plik o tej nazwie, ale jest on chroniony przed zapisem. Sugerowałbym mały skrypt powłoki, który rejestruje wszystkie bieżące procesy, a następnie śpi przez długi czas na wypadek, gdyby uruchomione polecenie odrodziło zadanie. Użyłbym, chattr +i /tmp/Carbonjeśli twój system plików na to pozwala, ponieważ niewiele skryptów będzie wiedziało, jak radzić sobie z niezmiennymi plikami.

Wygląda na to, że twój serwer został przejęty przez złośliwe oprogramowanie wydobywcze BitCoin. Zobacz opublikowany wątek ServerFault @dhag. Ponadto ta strona zawiera wiele informacji na ten temat.

Wygląda na to, że nazywa się to „złośliwym oprogramowaniem bez plików” - nie można znaleźć działającego pliku wykonywalnego, ponieważ nie należy tego robić. Zużywa całą moc procesora, ponieważ używa go do wydobywania kryptowaluty.