Dịch vụ kỳ lạ với tên gọi Carbon Carbon trực tiếp chạy hàng ngày và chiếm 100% CPU

Trong vài tuần qua, đã có hoạt động kỳ lạ trong máy chủ thử nghiệm Ubuntu của tôi. Vui lòng kiểm tra ảnh chụp màn hình dưới đây từ htop. Hàng ngày dịch vụ kỳ lạ này (có vẻ như dịch vụ khai thác tiền điện tử) đang chạy và chiếm 100% CPU.

Máy chủ của tôi chỉ có thể truy cập thông qua khóa ssh và đăng nhập mật khẩu đã bị vô hiệu hóa. Tôi đã cố gắng tìm bất kỳ tập tin có tên này, nhưng không thể tìm thấy bất kỳ tập tin.

Bạn có thể vui lòng giúp tôi với các vấn đề dưới đây

• Làm thế nào để tìm vị trí quá trình từ ID tiến trình?
• Làm thế nào để tôi loại bỏ hoàn toàn điều này?
• Bất cứ ý tưởng làm thế nào điều này có thể vào máy chủ của tôi? Máy chủ chạy phiên bản thử nghiệm chủ yếu của một vài triển khai Django.

Như được giải thích bởi các câu trả lời khác, đó là phần mềm độc hại sử dụng máy tính của bạn để khai thác tiền điện tử. Tin tốt là không thể làm gì khác hơn là sử dụng CPU và điện của bạn.

Dưới đây là một chút thông tin và những gì bạn có thể làm để chống lại một khi bạn đã thoát khỏi nó.

Phần mềm độc hại đang khai thác một altcoin được gọi là monero đến một trong những nhóm monero lớn nhất, crypto-pool.fr . Nhóm đó là hợp pháp và họ không chắc là nguồn gốc của phần mềm độc hại, đó không phải là cách họ kiếm tiền.

Nếu bạn muốn làm phiền bất cứ ai đã viết phần mềm độc hại đó, bạn có thể liên hệ với quản trị viên của nhóm (có một email trên trang hỗ trợ của trang web của họ). Họ không thích botnet, vì vậy nếu bạn báo cáo cho họ địa chỉ được sử dụng bởi phần mềm độc hại (chuỗi dài bắt đầu bằng 42Hr...), họ có thể sẽ quyết định tạm dừng thanh toán cho địa chỉ đó, điều này sẽ tạo ra cuộc sống của tin tặc đã viết đoạn đó của sh .. khó khăn hơn một chút.

Điều này cũng có thể giúp: Làm cách nào tôi có thể tiêu diệt phần mềm độc hại khai thác trên phiên bản AWS EC2? (máy chủ bị xâm nhập)

Nó phụ thuộc vào mức độ rắc rối của chương trình để che giấu nơi nó được chạy. Nếu nó không quá nhiều thì

1. Bắt đầu với ID tiến trình, 12583trong ảnh chụp màn hình
2. sử dụng ls -l /proc/12583/exevà nó sẽ cung cấp cho bạn một liên kết tượng trưng đến một tên đường dẫn tuyệt đối, có thể được chú thích với(deleted)
3. kiểm tra tệp tại tên đường dẫn nếu nó chưa bị xóa. Đặc biệt lưu ý nếu số lượng liên kết là 1. Nếu không thì bạn sẽ cần tìm các tên khác cho tệp.

Vì bạn mô tả đây là máy chủ thử nghiệm, có lẽ bạn sẽ tốt hơn bằng cách lưu bất kỳ dữ liệu nào và cài đặt lại. Thực tế là chương trình đang chạy bằng root có nghĩa là bạn thực sự không thể tin tưởng vào máy bây giờ.

cập nhật: Bây giờ chúng ta biết tệp nằm trong / tmp. Vì đây là tệp nhị phân, có một vài lựa chọn, tệp đang được biên dịch trên hệ thống hoặc nó đang được biên dịch trên hệ thống khác. Nhìn vào thời gian sử dụng cuối cùng của trình điều khiển trình biên dịch ls -lu /usr/bin/gcccó thể cho bạn manh mối.

Là một điểm dừng, nếu tệp có tên không đổi, bạn có thể tạo tệp có tên này nhưng được bảo vệ ghi. Tôi sẽ đề xuất một tập lệnh shell nhỏ ghi lại tất cả các quy trình hiện tại và sau đó ngủ trong một thời gian dài trong trường hợp bất cứ điều gì đang chạy lệnh sẽ đáp ứng công việc. Tôi sẽ sử dụng chattr +i /tmp/Carbonnếu hệ thống tập tin của bạn cho phép nó vì ít tập lệnh sẽ biết cách xử lý các tập tin bất biến.

Máy chủ của bạn dường như đã bị xâm nhập bởi phần mềm độc hại khai thác BitCoin. Xem chủ đề ServerFault @dhag được đăng. Ngoài ra, trang này có rất nhiều thông tin về nó.

Nó dường như là thứ gọi là "phần mềm độc hại không tên" - bạn không thể tìm thấy chương trình thực thi đang chạy vì bạn không được phép. Nó sử dụng hết dung lượng CPU của bạn, bởi vì nó sử dụng nó để khai thác tiền điện tử.