Serviço estranho com o nome “Carbon” rodando todos os dias e ocupando 100% da CPU

Navegue suas respostas
31

Nas últimas semanas, houve uma atividade estranha no meu servidor de teste do Ubuntu. Por favor, verifique a imagem abaixo do htop. Todos os dias esse serviço estranho (que parece ser um serviço de mineração de criptomoedas) está rodando e recebendo 100% da CPU.

Meu servidor só é acessível por meio da chave ssh e o login com senha foi desativado. Eu tentei encontrar qualquer arquivo com este nome, mas não consegui encontrar nenhum.

Você pode me ajudar com as questões abaixo

  • Como encontrar o local do processo a partir do ID do processo?
  • Como faço para remover completamente isso?
  • Alguma idéia de como isso pode entrar no meu servidor? O servidor roda principalmente versões de teste de algumas implementações do Django.
por Habib Ullah Bahar 28.12.2017 / 06:35

3 respostas

31

Como explicado por outras respostas, é um malware que usa seu computador para minerar criptomoínas. A boa notícia é que é improvável que ele esteja fazendo qualquer outra coisa além de usar sua CPU e eletricidade.

Aqui está um pouco mais de informação e o que você pode fazer para revidar assim que se livrar dela.

O malware está explorando uma altcoin chamada monero em um dos maiores pools de moneros, crypto-pool.fr . Esse pool é legítimo e é improvável que seja a fonte do malware, não é assim que eles ganham dinheiro.

Se você quiser incomodar quem escreveu esse malware, entre em contato com o administrador do pool (há um e-mail na página de suporte do site deles). Eles não gostam de botnets, então, se você relatar a eles o endereço usado pelo malware (a longa cadeia que começa com 42Hr... ), eles provavelmente decidirão suspender os pagamentos para esse endereço, o que tornará a vida do hacker escreveu esse pedaço de sh .. um pouco mais difícil.

Isso também pode ajudar: Como posso matar o malware minerd em uma instância do AWS EC2? (servidor comprometido)

    
por 28.12.2017 / 19:16
19

Depende de quanto problema o programa vai para esconder de onde é executado. Se não for muito, então

  1. Comece com o ID do processo, 12583 na captura de tela
  2. use ls -l /proc/12583/exe e ele deve fornecer um link simbólico para um nome de caminho absoluto, que pode ser anotado com (deleted)
  3. examine o arquivo no nome do caminho, se ele não tiver sido excluído. Observe, em particular, se a contagem de links for 1. Se não estiver, você precisará localizar os outros nomes para o arquivo.

Como você descreve isso como um servidor de teste, provavelmente é melhor salvá-los e reinstalá-los. O fato de o programa estar rodando como root significa que você não pode confiar na máquina agora.

update: Agora sabemos que o arquivo está em / tmp. Como esse é um binário, existem algumas opções, o arquivo está sendo compilado no sistema ou está sendo compilado em outro sistema. Uma olhada no último tempo de uso do driver do compilador ls -lu /usr/bin/gcc pode lhe dar uma pista.

Como um paliativo, se o arquivo tiver um nome constante, você poderá criar um arquivo com esse nome, mas será protegido contra gravação. Gostaria de sugerir um pequeno script de shell que registra todos os processos atuais e, em seguida, dorme por um longo tempo apenas no caso de o que estiver executando o comando respawns o trabalho. Eu usaria chattr +i /tmp/Carbon se seu sistema de arquivos permitir isso, pois poucos scripts saberão como lidar com arquivos imutáveis.

    
por 28.12.2017 / 07:23
7

O seu servidor parece ter sido comprometido pelo malware BitCoin Mineiro. Veja o tópico ServerFault @dhag postado. Além disso, esta página tem muita informação sobre isso. / p>

Parece ser o que é chamado de "malware sem arquivo" - não é possível encontrar o executável em execução porque você não deve. Está usando toda a sua capacidade de CPU, porque ela está usando isso para minha criptomoeda.

    
por 28.12.2017 / 08:40

Tags

O que acontece quando um usuário não root envia sinais para o processo do usuário root? Por que não consigo executar aplicativos GUI a partir de 'root': “No protocol specified”?