Layanan aneh dengan nama "Karbon" berjalan setiap hari dan menempati CPU 100%

Selama beberapa minggu terakhir, ada aktivitas aneh di server pengujian Ubuntu saya. Silakan periksa tangkapan layar di bawah ini dari htop. Setiap hari layanan aneh ini (yang tampak seperti layanan penambangan cryptocurrency) berjalan dan mengambil CPU 100%.

Server saya hanya dapat diakses melalui kunci ssh dan login kata sandi telah dinonaktifkan. Saya telah mencoba menemukan file dengan nama ini, tetapi tidak dapat menemukannya.

Tolong bantu saya dengan masalah di bawah ini

• Bagaimana menemukan lokasi proses dari ID proses?
• Bagaimana cara saya menghapus ini sepenuhnya?
• Adakah yang tahu bagaimana ini bisa masuk ke server saya? Server berjalan terutama versi uji beberapa penyebaran Django.

Sebagaimana dijelaskan oleh jawaban lain itu adalah malware yang menggunakan komputer Anda untuk menambang cryptocoin. Berita baiknya adalah tidak mungkin melakukan hal lain selain menggunakan CPU dan listrik Anda.

Berikut ini sedikit informasi lebih lanjut dan apa yang dapat Anda lakukan untuk melawan setelah Anda menyingkirkannya.

Malware tersebut menambang altcoin yang disebut monero ke salah satu kolam monero terbesar, crypto-pool.fr . Kumpulan itu sah dan mereka tidak mungkin menjadi sumber malware, bukan itu cara mereka menghasilkan uang.

Jika Anda ingin mengganggu siapa pun yang menulis malware itu, Anda dapat menghubungi administrator kumpulan (ada email di halaman dukungan situs mereka). Mereka tidak suka botnet jadi jika Anda melaporkan kepada mereka alamat yang digunakan oleh malware (string panjang yang dimulai dengan 42Hr...), mereka mungkin akan memutuskan untuk menangguhkan pembayaran ke alamat itu yang akan membuat kehidupan peretas yang menulis bagian itu dari sh .. sedikit lebih sulit.

Ini juga dapat membantu: Bagaimana saya bisa membunuh malware kecil di instance AWS EC2? (server yang dikompromikan)

Itu tergantung pada seberapa banyak masalah yang program sembunyikan di mana ia dijalankan. Jika tidak terlalu banyak maka

1. Mulai dengan ID proses, 12583di tangkapan layar
2. gunakan ls -l /proc/12583/exedan itu akan memberi Anda tautan simbolis ke pathname absolut, yang mungkin dijelaskan dengan(deleted)
3. periksa file di pathname jika belum dihapus. Perhatikan khususnya jika jumlah tautannya 1. Jika tidak, Anda harus mencari nama lain untuk file tersebut.

Karena Anda menggambarkan ini sebagai server uji, Anda mungkin lebih baik dengan menyimpan data apa pun dan menginstal ulang. Fakta bahwa program berjalan sebagai root berarti Anda benar-benar tidak dapat mempercayai mesin itu sekarang.

pembaruan: Kita sekarang tahu file di / tmp. Karena ini adalah biner, ada beberapa pilihan, file sedang dikompilasi di sistem atau sedang dikompilasi di sistem lain. Melihat waktu penggunaan terakhir dari driver compiler ls -lu /usr/bin/gccmungkin memberi Anda petunjuk.

Sebagai pengganti sementara, jika file memiliki nama konstan, Anda dapat membuat file dengan nama ini tetapi dilindungi dari penulisan. Saya akan menyarankan skrip shell kecil yang mencatat semua proses saat ini dan kemudian tidur untuk waktu yang lama kalau-kalau apa pun yang menjalankan perintah respawns pekerjaan. Saya akan menggunakan chattr +i /tmp/Carbonjika filesystem Anda memungkinkan karena beberapa skrip akan tahu bagaimana menangani file yang tidak dapat diubah.

Server Anda tampaknya telah dikompromikan oleh malware penambang BitCoin. Lihat utas ServerFault @dhag yang diposting. Juga, halaman ini memiliki banyak informasi tentang itu.

Tampaknya apa yang disebut "malware tanpa fileless" - Anda tidak dapat menemukan eksekusi yang dapat dijalankan karena Anda tidak seharusnya melakukannya. Ini menghabiskan semua kapasitas CPU Anda, karena menggunakannya untuk menambang cryptocurrency.