Seltsamer Service mit dem Namen "Carbon", der täglich ausgeführt wird und 100% der CPU belegt

In den letzten Wochen gab es auf meinem Ubuntu-Testserver seltsame Aktivitäten. Bitte überprüfen Sie den folgenden Screenshot von htop. Täglich wird dieser seltsame Dienst (der wie ein Cryptocurrency-Mining-Dienst scheint) ausgeführt und beansprucht 100% der CPU.

Auf meinen Server kann nur über den SSH-Schlüssel zugegriffen werden, und die Kennwortanmeldung wurde deaktiviert. Ich habe versucht, eine Datei mit diesem Namen zu finden, konnte aber keine finden.

Können Sie mir bitte bei den folgenden Problemen helfen?

• Wie finde ich den Prozessort anhand der Prozess-ID?
• Wie entferne ich das komplett?
• Irgendeine Idee, wie das auf meinen Server gelangt sein könnte? Auf dem Server werden hauptsächlich Testversionen weniger Django-Bereitstellungen ausgeführt.

Wie aus anderen Antworten hervorgeht, handelt es sich um eine Malware, die Ihren Computer zum Minen von Kryptokoins verwendet. Gute Nachrichten sind, dass es unwahrscheinlich ist, etwas anderes zu tun, als Ihre CPU und Strom zu verbrauchen.

Hier sind ein paar weitere Informationen und was Sie tun können, um sich zu wehren, wenn Sie es los sind.

Die Malware schürft einen Altcoin namens monero in einen der größten Monero-Pools, crypto-pool.fr . Dieser Pool ist legitim und es ist unwahrscheinlich, dass er die Quelle der Malware ist. Auf diese Weise verdienen sie kein Geld.

Wenn Sie denjenigen nerven möchten, der diese Malware geschrieben hat, können Sie sich an den Administrator des Pools wenden (eine E-Mail befindet sich auf der Support-Seite der jeweiligen Website). Sie mögen keine Botnets. Wenn Sie ihnen also die Adresse melden, die von der Malware verwendet wird (die lange Zeichenfolge, die mit beginnt 42Hr...), werden sie wahrscheinlich die Zahlungen an diese Adresse aussetzen, was das Leben des Hackers, der das Teil geschrieben hat, in Frage stellt von sh .. etwas schwieriger.

Dies kann auch helfen: Wie kann ich Minerd-Malware auf einer AWS EC2-Instanz entfernen? (kompromittierter Server)

Es hängt davon ab, wie viel Mühe das Programm macht, um zu verbergen, wo es ausgeführt wird. Wenn es dann nicht zu viel ist

1. Beginnen Sie mit der Prozess-ID 12583im Screenshot
2. Verwenden Sie ls -l /proc/12583/exeund es sollte Ihnen einen symbolischen Link zu einem absoluten Pfadnamen geben, der mit kommentiert werden kann(deleted)
3. Überprüfen Sie die Datei unter dem Pfadnamen, wenn sie nicht gelöscht wurde. Beachten Sie insbesondere, wenn die Anzahl der Verknüpfungen 1 beträgt. Wenn dies nicht der Fall ist, müssen Sie die anderen Namen für die Datei suchen.

Da Sie dies als Testserver bezeichnen, ist es wahrscheinlich besser, Daten zu speichern und neu zu installieren. Die Tatsache, dass das Programm als root ausgeführt wird, bedeutet, dass Sie der Maschine jetzt wirklich nicht vertrauen können.

Update: Wir wissen jetzt, dass sich die Datei in / tmp befindet. Da es sich um eine Binärdatei handelt, stehen einige Optionen zur Verfügung. Die Datei wird auf dem System oder auf einem anderen System kompiliert. Ein Blick auf die letzte Verwendungszeit des Compilertreibers ls -lu /usr/bin/gcckann einen Hinweis geben.

Wenn die Datei einen konstanten Namen hat, können Sie als Notlösung eine Datei mit diesem Namen erstellen, die jedoch schreibgeschützt ist. Ich würde ein kleines Shell-Skript vorschlagen, das alle aktuellen Prozesse protokolliert und dann für eine lange Zeit ruht, nur für den Fall, dass das, was auch immer der Befehl ausführt, den Job erneut startet. Ich würde verwenden, chattr +i /tmp/Carbonwenn Ihr Dateisystem es zulässt, da nur wenige Skripte wissen, wie man mit unveränderlichen Dateien umgeht.

Ihr Server wurde anscheinend von der Malware von BitCoin Miner kompromittiert. Weitere Informationen finden Sie im ServerFault-Thread @dhag. Auch diese Seite hat eine Menge Informationen über sie.

Es scheint sich um "fileless Malware" zu handeln - Sie können die ausgeführte ausführbare Datei nicht finden, weil Sie dies nicht tun sollten. Die gesamte CPU-Kapazität wird verbraucht, da die Kryptowährung damit abgebaut wird.