“Carbon” ismiyle her gün çalışan ve% 100 CPU'yu kaplayan garip servis

Son birkaç haftadır Ubuntu test sunucumda garip bir aktivite oldu. Lütfen aşağıdaki ekran görüntüsünü kontrol edin: htop. Hergün bu garip hizmet (ki bu kripto para birimli madencilik hizmeti gibi) çalışıyor ve CPU'nun% 100'ünü alıyor.

Sunucum yalnızca ssh tuşuyla erişilebilir ve şifre girişi devre dışı bırakıldı. Bu adda herhangi bir dosyayı bulmaya çalıştım ancak bulamadım.

Aşağıdaki konularda bana yardımcı olabilir misiniz

• İşlem kimliğinden işlem yeri nasıl bulunur?
• Bunu tamamen nasıl kaldırabilirim?
• Bunun sunucuma nasıl girebileceği hakkında fikrin var mı? Sunucu çoğunlukla birkaç Django dağıtımının deneme sürümünü çalıştırır.

Diğer yanıtlar tarafından açıklandığı üzere, bilgisayarınızı kriptokinlere dönüştürmek için kullanan kötü amaçlı bir yazılımdır. İyi haber şu ki CPU'nuzu ve elektriğinizi kullanmaktan başka bir şey yapmamanın olası olduğu.

İşte biraz daha fazla bilgi ve ondan kurtulduktan sonra geri mücadele etmek için ne yapabilirsiniz.

Kötü amaçlı yazılım, monero adlı en büyük monero havuzlarından biri olan crypto- pool.fr'ye madencilik yapıyor . Bu havuz meşru ve kötü amaçlı yazılımın kaynağı olma olasılığı düşük, bu şekilde para kazanmıyorlar.

Bu kötü amaçlı yazılımı kimin yazdığını görmek istiyorsanız, havuz yöneticisine başvurabilirsiniz (sitelerinin destek sayfasında bir e-posta var). Botnet'leri sevmezler, bu nedenle, onlara kötü amaçlı yazılımın kullandığı adresi bildirirseniz (başlayan uzun dize 42Hr...), muhtemelen ödemeyi o parçayı yazan hacker'ın ömrünü uzatan bu adrese askıya almaya karar vereceklerdir. sh .. biraz daha zor.

Bu da yardımcı olabilir: Bir AWS EC2 örneğinde madenci kötü amaçlı yazılımı nasıl öldürebilirim? (bozulmuş sunucu)

Bu, programın çalıştırıldığı yeri gizlemek için ne kadar sorun çıkardığına bağlı. Çok fazla değilse o zaman

1. 12583Ekran görüntüsünde işlem kimliğiyle başlayın
2. kullanın ls -l /proc/12583/exeve size açıklamalı olarak eklenebilecek mutlak bir yol adına sembolik bir bağlantı vermelidir.(deleted)
3. silinmediyse dosya yolundaki dosyayı inceleyin. Özellikle bağlantı sayısı 1 ise not alın. Eğer değilse, dosya için diğer isimleri bulmanız gerekecektir.

Bunu bir test sunucusu olarak tanımladığınızdan, muhtemelen herhangi bir veriyi kaydederek ve yeniden yükleyerek daha iyi durumdasınızdır. Programın kök olarak çalışması, makineye gerçekten güvenemeyeceğiniz anlamına gelir.

güncelleme: Artık dosyanın / tmp içinde olduğunu biliyoruz. Bu bir ikili dosya olduğundan, birkaç seçenek vardır, dosya sistemde derlenir veya başka bir sistemde derlenir. Derleyici sürücüsünün son kullanım zamanına bakmanız ls -lu /usr/bin/gccsize bir ipucu verebilir.

Durma noktası olarak, eğer dosya sabit bir isme sahipse, bu isimde bir dosya oluşturabilirsiniz fakat yazmaya karşı korumalıdır. Geçerli işlemlerin tümünü kaydeden ve komutun ne çalıştırırsa işi yeniden başlatması durumunda uzun bir süre uyuyan küçük bir kabuk betiği öneririm. Ben kullanacağı chattr +i /tmp/Carbondosya sistemi değişmez dosyaları ile nasıl başa bilecek birkaç komut dosyaları gibi izin verirse.

Sunucunuz BitCoin madenci kötü amaçlı yazılımları tarafından ele geçirilmiş görünüyor. Yayınlanan ServerFault iş parçacığına bakın. Ayrıca, bu sayfa hakkında çok fazla bilgi var.

"Fileless malware" denilen bir şey gibi görünüyor - çalışan çalıştırılabilir dosyayı bulamıyorsunuz çünkü bulamıyorsunuz. Tüm CPU kapasitenizi kullanıyor, çünkü onu şifrelemek için kullanıyor.