「Carbon」と呼ばれる奇妙なサービスが毎日実行され、CPUを100%占めます。

「Carbon」と呼ばれる奇妙なサービスが毎日実行され、CPUを100%占めます。

ここ数週間、Ubuntuテストサーバーで奇妙な活動を経験しました。 htopで次のスクリーンショットを確認してください。この奇妙なサービス(暗号通貨マイニングサービスのように見えます)は毎日実行され、CPUを100%消費します。 htopのスクリーンショット

私のサーバーはSSHキーを介してのみアクセスでき、パスワードログインは無効になっています。この名前のファイルを見つけようとしましたが、見つかりませんでした。

次の問題を解決するのに役立ちますか?

  • プロセスIDに基づいてプロセスの場所を見つける方法は?
  • これを完全に削除するにはどうすればよいですか?
  • これが私のサーバーにどのように入るのか知っていますか?サーバーは主に Django ディストリビューションのいくつかのテストバージョンを実行します。

答え1

他の回答で説明したように、これはコンピュータを使用して暗号通貨を採掘するマルウェアです。良いニュースは、CPUと電力を使用する以外には何もしないということです。

ここでは、より多くの情報とそれを削除した後に反撃する方法を説明します。

マルウェアは次の方法をマイニングしています。モネロ最大のモネロプールの一つcryptopool.fr。プールは正当であり、マルウェアのソースになる可能性が低く、これがお金を稼ぐ方法ではありません。

このマルウェアを作成した人を悩ませたい場合は、プール管理者に連絡してください(該当するWebサイトのサポートページに電子メールがあります)。彼らはボットネットが好きではないので、マルウェアが使用しているアドレス(長い文字列で始まる)を報告すると、そのアドレスの支払いを中止することになり、42Hr...記事を書いたハッカーは少しショックを受けます。難しい。

これも役に立ちます。AWS EC2 インスタンスから Minad マルウェアを削除するにはどうすればよいですか? (感染したサーバー)

答え2

プログラムが実行されている場所を隠すのがどれほど難しいかによって異なります。多すぎない場合

  1. 12583スクリーンショットのプロセスIDから始めてください。
  2. これを使用すると、ls -l /proc/12583/exeコメントアウトできる絶対パス名へのシンボリックリンクが提供されます。(deleted)
  3. パス名のファイルが削除されていないことを確認してください。リンク数が1であることに特に注意してください。そうでない場合は、ファイルの別の名前を見つける必要があります。

テストサーバーと説明しているので、すべてのデータを保存して再インストールする方が良いかもしれません。このプログラムがrootとして実行されているという事実は、現在マシンを信頼できないことを意味します。

更新:これでファイルが/ tmpにあることがわかりました。バイナリファイルなので、いくつかのオプションがあります。ファイルがシステムでコンパイルされているか、別のシステムでコンパイルされています。コンパイラドライバが最後に使用された時間を見ると、手がかりを得ることがls -lu /usr/bin/gccできます。

回避策として、ファイルに定数名がある場合は、その名前でファイルを生成できますが、ファイルは書き込み禁止です。すべての現在のプロセスを記録してからコマンドを実行した場合は、ジョブが再生成される場合に備えて長時間待機する小さなシェルスクリプトを使用することをお勧めします。chattr +i /tmp/Carbon不変ファイルの処理方法を知るスクリプトはほとんどありませんので、ファイルシステムで許可する場合はそれを使用します。

答え3

あなたのサーバーがビットコインの採掘マルウェアによって破損しているようです。@dhagが投稿したServerFaultスレッドを参照してください。返品、このページそれに関する多くの情報があります。

これは「ファイルのないマルウェア」と呼ばれるようです。実行中の実行可能ファイルが見つからないため、見つかりません。暗号通貨を採掘するためにCPU容量をすべて使用します。

関連情報