名为“Carbon”的奇怪服务每天运行并占用 100% CPU

名为“Carbon”的奇怪服务每天运行并占用 100% CPU

过去几周,我的 Ubuntu 测试服务器出现了奇怪的活动。请检查以下来自 htop 的屏幕截图。这个奇怪的服务(看起来像加密货币挖矿服务)每天都在运行并占用 100% 的 CPU。 截图自htop

我的服务器只能通过 ssh 密钥访问,并且密码登录已被禁用。我试图找到具有此名称的任何文件,但找不到任何文件。

你能帮我解决以下问题吗

  • 如何根据进程ID找到进程位置?
  • 我该如何彻底删除这个?
  • 知道这如何进入我的服务器吗?服务器主要运行一些 Django 部署的测试版本。

答案1

正如其他答案所解释的,这是一种使用您的计算机挖掘加密货币的恶意软件。好消息是它除了使用您的 CPU 和电力之外不会做任何其他事情。

这里有更多信息以及摆脱它后您可以采取哪些措施进行反击。

该恶意软件正在挖掘一种名为门罗币最大的门罗币池之一,加密池.fr。该池是合法的,他们不太可能是恶意软件的来源,这不是他们赚钱的方式。

如果您想惹恼编写该恶意软件的人,您可以联系该池的管理员(他们网站的支持页面上有一封电子邮件)。他们不喜欢僵尸网络,因此如果您向他们报告恶意软件使用的地址(以 开头的长字符串42Hr...),他们可能会决定暂停向该地址付款,这将使撰写该文章的黑客丧生sh..有点困难。

这也可能有帮助:如何杀死 AWS EC2 实例上的 minard 恶意软件? (受感染的服务器)

答案2

这取决于程序为了隐藏它的运行位置而付出了多大的努力。如果不是太多的话

  1. 12583从屏幕截图中的进程 ID 开始
  2. 使用ls -l /proc/12583/exe它应该给你一个到绝对路径名的符号链接,可以用注释(deleted)
  3. 检查路径名处的文件是否未被删除。特别注意链接计数是否为 1。如果不是,则您需要查找该文件的其他名称。

由于您将其描述为测试服务器,因此保存所有数据并重新安装可能会更好。该程序以 root 身份运行这一事实意味着您现在确实不能信任该机器。

更新:我们现在知道该文件位于 /tmp 中。由于这是一个二进制文件,因此有多种选择,该文件正在系统上编译,或者正在另一个系统上编译。查看编译器驱动程序的上次使用时间ls -lu /usr/bin/gcc可能会给您提供线索。

作为权宜之计,如果文件具有常量名称,您可以使用该名称创建一个文件,但该文件受到写保护。我建议使用一个小的 shell 脚本来记录所有当前进程,然后休眠很长时间,以防运行命令的任何内容重新生成作业。如果您的文件系统允许,我会使用chattr +i /tmp/Carbon它,因为很少有脚本知道如何处理不可变文件。

答案3

您的服务器似乎已被比特币矿工恶意软件破坏。请参阅@dhag 发布的 ServerFault 线程。还,这一页有很多关于它的信息。

它似乎是所谓的“无文件恶意软件” - 您无法找到正在运行的可执行文件,因为您不应该这样做。它耗尽了你所有的 CPU 容量,因为它用它来挖掘加密货币。

相关内容