web-dev-qa-db-fra.com

Service étrange avec le nom "Carbon" en cours d'exécution tous les jours et occupe 100% CPU

Ces dernières semaines, il y a eu une activité étrange dans mon serveur de test Ubuntu. Veuillez vérifier la capture d'écran ci-dessous à partir de HTOP. Tous les jours, ce service étrange (qui semble être un service minier de cryptocurrence) fonctionne et prend 100% de la CPU. screenshot from htop

Mon serveur est uniquement accessible via la clé SSH et la connexion de mot de passe a été désactivé. J'ai essayé de trouver n'importe quel fichier avec ce nom, mais je n'ai pas trouvé.

Pouvez-vous s'il vous plaît aidez-moi avec les problèmes ci-dessous

  • Comment trouver l'emplacement du processus à partir de l'ID de processus?
  • Comment puis-je supprimer complètement cela?
  • Avez-vous une idée de la façon dont cela peut être dans mon serveur? Le serveur exécute principalement une version de test de peu Django déploiements.
ubuntusecurityprocess
31
Habib Ullah Bahar

Comme expliqué par d'autres réponses, il s'agit d'un logiciel malveillant qui utilise votre ordinateur pour la mine de cryptocoinins. Bonne nouvelle est qu'il est peu probable de faire autre chose que d'utiliser votre CPU et votre électricité.

Voici un peu plus d'informations et ce que vous pouvez faire pour vous battre une fois que vous en avez débarrassé.

Les logiciels malveillants sont miniers une altcoin appelée Monero à l'un des plus grands pools de Monero, crypto-pool.fr . Cette piscine est légitime et il est peu probable que ce soit la source des logiciels malveillants, ce n'est pas la façon dont ils gagnent de l'argent.

Si vous souhaitez ennuyer quiconque écrivant ce logiciel malveillant, vous pouvez contacter l'administrateur de la piscine (il existe un courrier électronique sur la page de support de leur site). Ils n'aiment pas les botnets, donc si vous leur rapportez à eux l'adresse utilisée par les logiciels malveillants (la longue chaîne qui commence par 42Hr...), ils décideront probablement de suspendre les paiements à cette adresse qui feront la vie du pirate informatique qui a écrit ce morceau de sh. Un peu plus difficile.

Cela peut aussi aider: Comment puis-je tuer Minerd Malware sur une instance AWS EC2? (Serveur compromis)

31
assylias

Cela dépend de la quantité de problème du programme pour se cacher où il est fait. Si ce n'est pas trop, alors

  1. Commencez avec l'ID de processus, 12583 dans la capture d'écran
  2. utilisation ls -l /proc/12583/exe et cela devrait vous donner un lien symbolique à un chemin d'accès absolu, qui peut être annoté avec (deleted)
  3. examinez le fichier sur le chemin de chemin s'il n'a pas été supprimé. Notez en particulier si le nombre de liais est 1. Si ce n'est pas alors vous devrez trouver les autres noms du fichier.

Depuis que vous décrivez cela en tant que serveur de test, vous êtes probablement meilleur en enregistrant toutes les données et réinstallez. Le fait que le programme fonctionne comme racine signifie que vous ne pouvez vraiment pas faire confiance à la machine maintenant.

mise à jour: Nous savons maintenant que le fichier est IN/TMP. Comme il s'agit d'un binaire, il existe quelques choix, le fichier est compilé sur le système ou est compilé sur un autre système. Regardez le dernier temps d'utilisation du pilote de compilateur ls -lu /usr/bin/gcc pourrait vous donner un indice.

En tant qu'arrise, si le fichier a un nom constant, vous pouvez créer un fichier avec ce nom mais est protégé en écriture. Je suggérerais un petit script shell qui enregistre tous les processus actuels, puis dort pendant une longue période au cas où tout ce qui est exécuté, la commande rétablit le travail. J'utiliserais chattr +i /tmp/Carbon Si votre système de fichiers le permet que peu de scripts sauront faire face à des fichiers immuables.

19
icarus

Votre serveur semble avoir été compromis par des logiciels malveillants Bitcoin Miner. voir le fil serveurfault @Dhag posté. aussi, Cette page a beaucoup d'informations à ce sujet.

Il semble s'agir de ce qu'on appelle "malware sans fil sans fil" - vous ne pouvez pas trouver l'exécutable en cours d'exécution car vous n'êtes pas censé. Il utilise toute votre capacité de la CPU, car il l'utilise pour la mine de cryptocurrence.

7
Tanner Babcock