名为“Carbon”的奇怪服务每天运行并占用 100% CPU

正如其他答案所解释的，这是一种使用您的计算机挖掘加密货币的恶意软件。好消息是它除了使用您的 CPU 和电力之外不会做任何其他事情。

这里有更多信息以及摆脱它后您可以采取哪些措施进行反击。

该恶意软件正在挖掘一种名为门罗币最大的门罗币池之一，加密池.fr。该池是合法的，他们不太可能是恶意软件的来源，这不是他们赚钱的方式。

如果您想惹恼编写该恶意软件的人，您可以联系该池的管理员（他们网站的支持页面上有一封电子邮件）。他们不喜欢僵尸网络，因此如果您向他们报告恶意软件使用的地址（以 开头的长字符串42Hr...），他们可能会决定暂停向该地址付款，这将使撰写该文章的黑客丧生sh..有点困难。

这也可能有帮助：如何杀死 AWS EC2 实例上的 minard 恶意软件？ （受感染的服务器）

这取决于程序为了隐藏它的运行位置而付出了多大的努力。如果不是太多的话

1. 12583从屏幕截图中的进程 ID 开始
2. 使用ls -l /proc/12583/exe它应该给你一个到绝对路径名的符号链接，可以用注释(deleted)
3. 检查路径名处的文件是否未被删除。特别注意链接计数是否为 1。如果不是，则您需要查找该文件的其他名称。

由于您将其描述为测试服务器，因此保存所有数据并重新安装可能会更好。该程序以 root 身份运行这一事实意味着您现在确实不能信任该机器。

更新：我们现在知道该文件位于 /tmp 中。由于这是一个二进制文件，因此有多种选择，该文件正在系统上编译，或者正在另一个系统上编译。查看编译器驱动程序的上次使用时间ls -lu /usr/bin/gcc可能会给您提供线索。

作为权宜之计，如果文件具有常量名称，您可以使用该名称创建一个文件，但该文件受到写保护。我建议使用一个小的 shell 脚本来记录所有当前进程，然后休眠很长时间，以防运行命令的任何内容重新生成作业。如果您的文件系统允许，我会使用chattr +i /tmp/Carbon它，因为很少有脚本知道如何处理不可变文件。

您的服务器似乎已被比特币矿工恶意软件破坏。请参阅@dhag 发布的 ServerFault 线程。还，这一页有很多关于它的信息。

它似乎是所谓的“无文件恶意软件” - 您无法找到正在运行的可执行文件，因为您不应该这样做。它耗尽了你所有的 CPU 容量，因为它用它来挖掘加密货币。