บริการแปลก ๆ ที่มีชื่อว่า“ Carbon” ทำงานทุกวันและครอบครอง CPU 100%

ในช่วงสองสามสัปดาห์ที่ผ่านมามีกิจกรรมแปลก ๆ ในเซิร์ฟเวอร์ทดสอบ Ubuntu ของฉัน โปรดตรวจสอบภาพหน้าจอด้านล่างจาก htop ทุกวันบริการแปลก ๆ นี้ (ซึ่งดูเหมือนว่าบริการการขุด cryptocurrency) กำลังทำงานและรับ CPU 100%

เซิร์ฟเวอร์ของฉันสามารถเข้าถึงได้ผ่านทางคีย์ ssh เท่านั้นและการลงชื่อเข้าใช้รหัสผ่านถูกปิดใช้งาน ฉันพยายามค้นหาไฟล์ที่มีชื่อนี้ แต่หาไม่พบ

คุณช่วยฉันด้วยปัญหาด้านล่างได้ไหม

• จะค้นหาตำแหน่งกระบวนการจากรหัสกระบวนการได้อย่างไร
• ฉันจะลบสิ่งนี้ได้อย่างไร
• มีความคิดใดบ้างที่สิ่งนี้อาจเข้าสู่เซิร์ฟเวอร์ของฉัน เซิร์ฟเวอร์รันการทดสอบส่วนใหญ่ของการปรับใช้ Django เป็นหลัก

ตามที่อธิบายโดยคำตอบอื่น ๆ มันเป็นมัลแวร์ที่ใช้คอมพิวเตอร์ของคุณเพื่อขุด cryptocoins ข่าวดีก็คือว่ามันไม่น่าจะทำอะไรอย่างอื่นนอกจากการใช้ซีพียูและไฟฟ้าของคุณ

นี่คือข้อมูลเพิ่มเติมเล็กน้อยและสิ่งที่คุณสามารถทำได้เพื่อต่อสู้เมื่อคุณกำจัดมันไปแล้ว

มัลแวร์ที่มีการทำเหมืองแร่ที่เรียกว่า altcoin moneroให้เป็นหนึ่งในสระว่ายน้ำที่ใหญ่ที่สุด monero, crypto-pool.fr แหล่งรวมนั้นถูกต้องตามกฎหมายและพวกเขาไม่น่าจะเป็นแหล่งที่มาของมัลแวร์นั่นไม่ใช่วิธีที่พวกเขาทำเงิน

หากคุณต้องการรบกวนใครก็ตามที่เขียนมัลแวร์นั้นคุณสามารถติดต่อผู้ดูแลระบบของพูล (มีอีเมลในหน้าสนับสนุนของไซต์ของพวกเขา) พวกเขาไม่ชอบบ็อตเน็ตดังนั้นหากคุณรายงานที่อยู่ที่มัลแวร์ใช้ (สตริงยาวที่ขึ้นต้นด้วย42Hr...) พวกเขาอาจตัดสินใจระงับการชำระเงินตามที่อยู่นั้นซึ่งจะทำให้ชีวิตของแฮกเกอร์ที่เขียนชิ้นส่วนนั้น ของ.. ยากขึ้นอีกนิด

สิ่งนี้อาจช่วยได้เช่นกัน: ฉันจะฆ่ามัลแวร์ minerd ในอินสแตนซ์ของ AWS EC2 ได้อย่างไร (เซิร์ฟเวอร์ที่ถูกบุกรุก)

ขึ้นอยู่กับว่าปัญหาใดที่โปรแกรมไปซ่อนที่ซึ่งมันถูกเรียกใช้ ถ้ามันไม่มากเกินไปแล้ว

1. เริ่มต้นด้วย ID กระบวนการ12583ในภาพหน้าจอ
2. ใช้ls -l /proc/12583/exeและควรให้ลิงค์สัญลักษณ์กับชื่อพา ธ สัมบูรณ์ซึ่งอาจมีหมายเหตุประกอบด้วย(deleted)
3. ตรวจสอบไฟล์ที่ชื่อพา ธ ถ้ายังไม่ถูกลบ หมายเหตุโดยเฉพาะอย่างยิ่งถ้านับลิงค์คือ 1 ถ้าไม่เช่นนั้นคุณจะต้องค้นหาชื่ออื่น ๆ สำหรับไฟล์

เนื่องจากคุณอธิบายว่านี่เป็นเซิร์ฟเวอร์ทดสอบคุณน่าจะดีกว่าด้วยการบันทึกข้อมูลและติดตั้งใหม่ ความจริงที่ว่าโปรแกรมกำลังทำงานในฐานะรูทหมายความว่าคุณไม่สามารถไว้วางใจเครื่องได้ในขณะนี้

อัปเดต: ตอนนี้เรารู้ว่าไฟล์อยู่ใน / tmp เนื่องจากนี่เป็นไบนารีจึงมีตัวเลือกสองทางไฟล์จะถูกคอมไพล์ในระบบหรือถูกคอมไพล์ในระบบอื่น ดูที่เวลาใช้งานล่าสุดของไดรเวอร์คอมไพเลอร์ls -lu /usr/bin/gccอาจให้เบาะแสกับคุณ

ในฐานะ stopgap หากไฟล์มีชื่อคงที่คุณสามารถสร้างไฟล์ด้วยชื่อนี้ แต่ได้รับการป้องกันการเขียน ฉันอยากจะแนะนำเชลล์สคริปต์ขนาดเล็กที่บันทึกกระบวนการปัจจุบันทั้งหมดและจากนั้นพักเป็นเวลานานในกรณีที่สิ่งที่กำลังเรียกใช้คำสั่ง respawns งาน ฉันจะใช้chattr +i /tmp/Carbonถ้าระบบไฟล์ของคุณอนุญาตให้มันเป็นสคริปต์น้อยจะรู้วิธีจัดการกับไฟล์ที่ไม่เปลี่ยนรูป

เซิร์ฟเวอร์ของคุณดูเหมือนจะถูกมัลแวร์ตัวทำลาย BitCoin ดู ServerFault เธรด @dhag ที่โพสต์ นอกจากนี้หน้านี้มีข้อมูลมากมายเกี่ยวกับเรื่องนี้

ดูเหมือนจะเป็นสิ่งที่เรียกว่า "มัลแวร์ที่ไม่มีชื่อ" - คุณไม่สามารถค้นหาไฟล์ที่เรียกใช้งานได้เพราะคุณไม่ควรทำ มันใช้ความจุซีพียูของคุณหมดแล้วเพราะมันใช้เพื่อขุด cryptocurrency