Serviço estranho com o nome "Carbon" sendo executado todos os dias e ocupando 100% da CPU

Nas últimas semanas, houve uma atividade estranha no meu servidor de teste do Ubuntu. Verifique a captura de tela abaixo da htop. Todos os dias esse serviço estranho (que parece um serviço de mineração de criptomoeda) está sendo executado e consome 100% da CPU.

Meu servidor só pode ser acessado através da chave ssh e o login da senha foi desativado. Tentei encontrar qualquer arquivo com esse nome, mas não o encontrei.

Você pode me ajudar com os problemas abaixo

• Como encontrar o local do processo a partir do ID do processo?
• Como faço para remover completamente isso?
• Alguma idéia de como isso pode entrar no meu servidor? O servidor executa principalmente a versão de teste de poucas implementações do Django.

Conforme explicado por outras respostas, é um malware que usa seu computador para extrair criptomoedas. A boa notícia é que é improvável que você esteja fazendo outra coisa além de usar sua CPU e eletricidade.

Aqui está um pouco mais de informação e o que você pode fazer para revidar depois que você se livrar dela.

O malware está minerando um altcoin chamado monero para um dos maiores pools monero , o crypto-pool.fr . Esse pool é legítimo e é improvável que eles sejam a fonte do malware, não é assim que eles ganham dinheiro.

Se você quiser incomodar quem escreveu esse malware, entre em contato com o administrador do pool (há um email na página de suporte do site). Eles não gostam de botnets; portanto, se você informar o endereço usado pelo malware (a longa sequência que começa com 42Hr...), provavelmente decidirá suspender os pagamentos nesse endereço, o que tornará a vida do hacker que escreveu a peça. de sh .. um pouco mais difícil.

Isso também pode ajudar: Como posso matar malware minerd em uma instância do AWS EC2? (servidor comprometido)

Depende de quantos problemas o programa irá ocultar de onde é executado. Se não for muito, então

1. Comece com o ID do processo, 12583na captura de tela
2. use ls -l /proc/12583/exee deve fornecer um link simbólico para um nome de caminho absoluto, que pode ser anotado com(deleted)
3. examine o arquivo no nome do caminho se ele não tiver sido excluído. Observe em particular se a contagem de links é 1. Caso contrário, será necessário encontrar os outros nomes para o arquivo.

Como você descreve isso como um servidor de teste, provavelmente é melhor salvar os dados e reinstalar. O fato de o programa estar sendo executado como root significa que você realmente não pode confiar na máquina agora.

atualização: agora sabemos que o arquivo está em / tmp. Como este é um binário, há algumas opções: o arquivo está sendo compilado no sistema ou em outro sistema. Uma olhada no último tempo de uso do driver do compilador ls -lu /usr/bin/gccpode lhe dar uma pista.

Como um paliativo, se o arquivo tiver um nome constante, você poderá criar um arquivo com esse nome, mas está protegido contra gravação. Eu sugeriria um pequeno script de shell que registre todos os processos atuais e, em seguida, dorme por um longo tempo, caso o que estiver executando o comando respawns o trabalho. Eu usaria chattr +i /tmp/Carbonse o seu sistema de arquivos permitir, pois poucos scripts saberão como lidar com arquivos imutáveis.

Seu servidor parece ter sido comprometido pelo malware BitCoin miner. Veja o tópico ServerFault @dhag publicado. Além disso, esta página possui muitas informações.

Parece ser o que é chamado de "malware sem arquivo" - você não pode encontrar o executável em execução porque não deveria. Ele está consumindo toda a capacidade da CPU, porque está sendo usada para minerar criptomoedas.