Странный сервис с именем «Carbon» работает каждый день и занимает 100% CPU

Последние несколько недель на моем тестовом сервере Ubuntu происходила странная активность. Пожалуйста, проверьте скриншот ниже от htop. Каждый день этот странный сервис (который выглядит как сервис майнинга криптовалют) работает и занимает 100% процессорного времени.

Мой сервер доступен только через ключ ssh, и пароль был отключен. Я пытался найти любой файл с этим именем, но не смог найти.

Можете ли вы помочь мне со следующими вопросами

• Как найти местоположение процесса по идентификатору процесса?
• Как мне полностью удалить это?
• Любая идея, как это может попасть на мой сервер? Сервер запускает в основном тестовую версию нескольких развертываний Django.

Как объясняют другие ответы, это вредоносная программа, которая использует ваш компьютер для майнинга криптовалют. Хорошей новостью является то, что вряд ли он будет делать что-то еще, кроме использования вашего процессора и электричества.

Вот немного больше информации и что вы можете сделать, чтобы дать отпор, когда вы избавитесь от этого.

Вредоносная программа добывает altcoin под названием monero в одном из крупнейших пулов monero , crypto-pool.fr . Этот пул является законным, и они вряд ли являются источником вредоносного ПО, а не тем, как они зарабатывают деньги.

Если вы хотите раздражать любого, кто написал эту вредоносную программу, вы можете связаться с администратором пула (на странице поддержки их сайта есть электронное письмо). Они не любят бот-сети, поэтому, если вы сообщите им адрес, используемый вредоносной программой (длинная строка, начинающаяся с 42Hr...), они, вероятно, примут решение приостановить платежи по этому адресу, что сделает жизнь хакера, написавшего этот фрагмент. из ш .. немного сложнее.

Это также может помочь: как я могу уничтожить вредоносное ПО на экземпляре AWS EC2? (скомпрометированный сервер)

Это зависит от того, сколько неприятностей уходит программе, чтобы скрыть, откуда она запускается. Если это не слишком много, то

1. Начните с идентификатора процесса, 12583на скриншоте
2. использовать ls -l /proc/12583/exeи он должен дать вам символическую ссылку на абсолютный путь, который может быть аннотирован(deleted)
3. проверьте файл по пути, если он не был удален. Обратите внимание, в частности, если количество ссылок равно 1. Если это не так, вам нужно будет найти другие имена для файла.

Поскольку вы описываете это как тестовый сервер, вам, вероятно, будет лучше, если вы сохраните все данные и переустановите их. Тот факт, что программа работает от имени пользователя root, означает, что вы действительно не можете доверять машине.

обновление: теперь мы знаем, что файл находится в / tmp. Поскольку это двоичный файл, существует несколько вариантов: файл компилируется в системе или компилируется в другой системе. Взгляд на время последнего использования драйвера компилятора ls -lu /usr/bin/gccможет дать вам подсказку.

В качестве временного интервала, если файл имеет постоянное имя, вы можете создать файл с этим именем, но защищенный от записи. Я бы предложил небольшой сценарий оболочки, который регистрирует все текущие процессы и затем долгое время спит на тот случай, если какая-либо команда запускает задание заново. Я хотел бы использовать, chattr +i /tmp/Carbonесли ваша файловая система позволяет это, так как немногие скрипты будут знать, как работать с неизменяемыми файлами.

Похоже, что ваш сервер был взломан вредоносным ПО BitCoin. Смотрите ветку ServerFault @dhag опубликовано. Также эта страница есть много информации об этом.

Похоже, это то, что называется «безфайловой вредоносной программой» - вы не можете найти исполняемый файл, потому что вы не должны. Он использует всю мощность вашего процессора, потому что использует его для майнинга криптовалюты.