Service étrange avec le nom «Carbon» fonctionnant tous les jours et occupant 100% CPU

Au cours des dernières semaines, il y a eu une activité étrange sur mon serveur de test Ubuntu. Veuillez vérifier la capture d'écran ci-dessous de htop. Chaque jour, ce service étrange (qui ressemble à un service d'extraction de crypto-monnaie) fonctionne et prend 100% du processeur.

Mon serveur est uniquement accessible via la clé ssh et la connexion par mot de passe a été désactivée. J'ai essayé de trouver un fichier portant ce nom, mais je n'en ai trouvé aucun.

Pouvez-vous m'aider à résoudre les problèmes ci-dessous

• Comment trouver l'emplacement du processus à partir de l'ID de processus?
• Comment supprimer complètement cela?
• Une idée de comment cela peut arriver sur mon serveur? Le serveur exécute principalement la version test de quelques déploiements Django.

Comme expliqué par d'autres réponses, il s'agit d'un malware qui utilise votre ordinateur pour extraire des crypto-pièces. La bonne nouvelle est qu'il est peu probable de faire autre chose que d'utiliser votre processeur et votre électricité.

Voici un peu plus d'informations et ce que vous pouvez faire pour riposter une fois que vous vous en êtes débarrassé.

Le malware exploite un altcoin appelé monero dans l'un des plus grands pools monero , crypto-pool.fr . Ce pool est légitime et il est peu probable qu'il soit à l'origine du malware, ce n'est pas ainsi qu'il gagne de l'argent.

Si vous voulez ennuyer celui qui a écrit ce malware, vous pouvez contacter l'administrateur du pool (il y a un email sur la page d'assistance de leur site). Ils n'aiment pas les botnets donc si vous leur rapportez l'adresse utilisée par le malware (la longue chaîne qui commence par 42Hr...), ils décideront probablement de suspendre les paiements à cette adresse ce qui fera la vie du hacker qui a écrit cette pièce de sh .. un peu plus difficile.

Cela peut aussi aider: comment puis-je tuer les logiciels malveillants minerd sur une instance AWS EC2? (serveur compromis)

Cela dépend de la quantité de problèmes que le programme va chercher à cacher où il est exécuté. Si ce n'est pas trop alors

1. Commencez avec l'ID de processus, 12583dans la capture d'écran
2. utiliser ls -l /proc/12583/exeet il devrait vous donner un lien symbolique vers un chemin absolu, qui peut être annoté avec(deleted)
3. examinez le fichier au niveau du chemin s'il n'a pas été supprimé. Notez en particulier si le nombre de liens est 1. Si ce n'est pas le cas, vous devrez trouver les autres noms du fichier.

Comme vous le décrivez comme un serveur de test, vous feriez probablement mieux d'enregistrer toutes les données et de les réinstaller. Le fait que le programme s'exécute en tant que root signifie que vous ne pouvez vraiment pas faire confiance à la machine maintenant.

mise à jour: Nous savons maintenant que le fichier est dans / tmp. Puisqu'il s'agit d'un binaire, il y a deux choix: le fichier est en cours de compilation sur le système ou en cours de compilation sur un autre système. Un regard sur la dernière utilisation du pilote du compilateur ls -lu /usr/bin/gccpourrait vous donner un indice.

En guise d'interruption, si le fichier a un nom constant, vous pouvez créer un fichier avec ce nom mais protégé en écriture. Je suggérerais un petit script shell qui enregistre tous les processus en cours, puis s'endort longtemps au cas où ce qui est en cours d'exécution de la commande réapparaîtrait le travail. J'utiliserais chattr +i /tmp/Carbonsi votre système de fichiers le permet car peu de scripts sauront comment gérer les fichiers immuables.

Votre serveur semble avoir été compromis par un logiciel malveillant mineur BitCoin. Voir le thread ServerFault @dhag publié. En outre, cette page contient de nombreuses informations à ce sujet.

Il semble que ce soit ce qu'on appelle un "malware sans fichier" - vous ne pouvez pas trouver l'exécutable en cours d'exécution parce que vous n'êtes pas censé le faire. Il utilise toute la capacité de votre processeur, car il l'utilise pour extraire la crypto-monnaie.