Strano servizio con il nome "Carbon" in esecuzione tutti i giorni e occupa il 100% della CPU

Nelle ultime settimane, c'è stata una strana attività nel mio server di test Ubuntu. Si prega di controllare lo screenshot qui sotto da htop. Ogni giorno questo strano servizio (che sembra un servizio di mining di criptovaluta) è in esecuzione e prende il 100% della CPU.

Il mio server è accessibile solo tramite chiave ssh e l'accesso con password è stato disabilitato. Ho provato a trovare qualsiasi file con questo nome, ma non sono riuscito a trovarne.

Potete per favore aiutarmi con i seguenti problemi

• Come trovare la posizione del processo dall'ID processo?
• Come lo rimuovo completamente?
• Qualche idea su come ciò possa essere entrato nel mio server? Il server esegue principalmente la versione di prova di alcune distribuzioni di Django.

Come spiegato da altre risposte, è un malware che utilizza il tuo computer per estrarre criptovalute. La buona notizia è che è improbabile che stia facendo altro che utilizzare la CPU e l'elettricità.

Ecco un po 'più di informazioni e cosa puoi fare per reagire una volta che ti sarai sbarazzato di esso.

Il malware sta estraendo un altcoin chiamato monero in uno dei più grandi pool di monero , crypto-pool.fr . Quel pool è legittimo e è improbabile che siano la fonte del malware, non è così che fanno soldi.

Se vuoi infastidire chiunque abbia scritto quel malware, puoi contattare l'amministratore del pool (c'è un'e-mail sulla pagina di supporto del loro sito). A loro non piacciono le botnet, quindi se segnalate loro l'indirizzo utilizzato dal malware (la lunga stringa che inizia con 42Hr...), probabilmente decideranno di sospendere i pagamenti a quell'indirizzo che renderanno la vita dell'hacker che ha scritto quel pezzo di sh .. un po 'più difficile.

Anche questo può aiutare: come posso uccidere il malware minerd su un'istanza di AWS EC2? (server compromesso)

Dipende da quanti problemi va a nascondere il programma da cui viene eseguito. Se non è troppo allora

1. Inizia con l'ID processo, 12583nello screenshot
2. utilizzare ls -l /proc/12583/exee dovrebbe fornire un collegamento simbolico a un percorso assoluto, che può essere annotato con(deleted)
3. esaminare il file nel percorso se non è stato eliminato. Nota in particolare se il numero di collegamenti è 1. In caso contrario, dovrai trovare gli altri nomi per il file.

Dato che lo descrivi come un server di prova, probabilmente stai meglio salvando tutti i dati e reinstallando. Il fatto che il programma sia in esecuzione come root significa che non puoi davvero fidarti della macchina ora.

aggiornamento: ora sappiamo che il file è in / tmp. Dato che si tratta di un file binario, ci sono un paio di scelte, il file viene compilato sul sistema o viene compilato su un altro sistema. Uno sguardo all'ultimo utilizzo del driver del compilatore ls -lu /usr/bin/gccpotrebbe darti un indizio.

Come stopgap, se il file ha un nome costante, è possibile creare un file con questo nome ma è protetto da scrittura. Vorrei suggerire un piccolo script di shell che registra tutti i processi correnti e quindi dorme a lungo nel caso in cui qualunque cosa stia eseguendo il comando respawn il lavoro. Vorrei utilizzare chattr +i /tmp/Carbonse il tuo filesystem lo consente poiché pochi script sapranno come gestire i file immutabili.

Sembra che il tuo server sia stato compromesso dal malware miner di BitCoin. Vedi il thread ServerFault @dhag pubblicato. Inoltre, questa pagina contiene molte informazioni al riguardo.

Sembra essere quello che viene chiamato "malware senza file": non riesci a trovare l'eseguibile in esecuzione perché non dovresti. Sta usando tutta la tua capacità della CPU, perché la sta usando per minare la criptovaluta.