Serviço estranho com o nome "Carbon" sendo executado todos os dias e ocupando 100% da CPU

31

Nas últimas semanas, houve uma atividade estranha no meu servidor de teste do Ubuntu. Verifique a captura de tela abaixo da htop. Todos os dias esse serviço estranho (que parece um serviço de mineração de criptomoeda) está sendo executado e consome 100% da CPU. captura de tela do htop

Meu servidor só pode ser acessado através da chave ssh e o login da senha foi desativado. Tentei encontrar qualquer arquivo com esse nome, mas não o encontrei.

Você pode me ajudar com os problemas abaixo

  • Como encontrar o local do processo a partir do ID do processo?
  • Como faço para remover completamente isso?
  • Alguma idéia de como isso pode entrar no meu servidor? O servidor executa principalmente a versão de teste de poucas implementações do Django.
Habib Ullah Bahar
fonte
17
Seu sistema foi infectado com o que chamamos de Coin Miner .
LinuxSecurityFreak
3
Isso não responde a todas as suas perguntas, mas pode ser relevante: serverfault.com/questions/218005/…
dhag
11
Aqui está um link que descreve como esse malware sem arquivo funciona. Com base nesse site, acho que seu servidor precisa ser formatado: csoonline.com/article/3227046/malware/…
F.Jawad
3
Observe que, além de limpar isso, o que geralmente significa reinstalar, você também precisa corrigir a vulnerabilidade . Caso contrário, ele voltará.
Gilles 'SO- stop be evil'
Esse processo é uma versão renomeada de um programa de mineração popular. Está minerando Monero para o pool xmr.crypto-pool.fr. Procure a sequência longa iniciando com 4 no site, deve dar uma dica da escala da mineração do atacante.
Dmitry Kudriavtsev

Respostas:

31

Conforme explicado por outras respostas, é um malware que usa seu computador para extrair criptomoedas. A boa notícia é que é improvável que você esteja fazendo outra coisa além de usar sua CPU e eletricidade.

Aqui está um pouco mais de informação e o que você pode fazer para revidar depois que você se livrar dela.

O malware está minerando um altcoin chamado monero para um dos maiores pools monero , o crypto-pool.fr . Esse pool é legítimo e é improvável que eles sejam a fonte do malware, não é assim que eles ganham dinheiro.

Se você quiser incomodar quem escreveu esse malware, entre em contato com o administrador do pool (há um email na página de suporte do site). Eles não gostam de botnets; portanto, se você informar o endereço usado pelo malware (a longa sequência que começa com 42Hr...), provavelmente decidirá suspender os pagamentos nesse endereço, o que tornará a vida do hacker que escreveu a peça. de sh .. um pouco mais difícil.

Isso também pode ajudar: Como posso matar malware minerd em uma instância do AWS EC2? (servidor comprometido)

assylias
fonte
6
Por mais que eu goste da idéia de penalizar o hacker, não tenho certeza se recomendaria fazê-lo quando o hacker obviamente tiver acesso ao computador, pois pode haver retaliação. Eu recomendaria proteger os ativos primeiro (backups!), No mínimo.
Matthieu M.
19

Depende de quantos problemas o programa irá ocultar de onde é executado. Se não for muito, então

  1. Comece com o ID do processo, 12583na captura de tela
  2. use ls -l /proc/12583/exee deve fornecer um link simbólico para um nome de caminho absoluto, que pode ser anotado com(deleted)
  3. examine o arquivo no nome do caminho se ele não tiver sido excluído. Observe em particular se a contagem de links é 1. Caso contrário, será necessário encontrar os outros nomes para o arquivo.

Como você descreve isso como um servidor de teste, provavelmente é melhor salvar os dados e reinstalar. O fato de o programa estar sendo executado como root significa que você realmente não pode confiar na máquina agora.

atualização: agora sabemos que o arquivo está em / tmp. Como este é um binário, há algumas opções: o arquivo está sendo compilado no sistema ou em outro sistema. Uma olhada no último tempo de uso do driver do compilador ls -lu /usr/bin/gccpode lhe dar uma pista.

Como um paliativo, se o arquivo tiver um nome constante, você poderá criar um arquivo com esse nome, mas está protegido contra gravação. Eu sugeriria um pequeno script de shell que registre todos os processos atuais e, em seguida, dorme por um longo tempo, caso o que estiver executando o comando respawns o trabalho. Eu usaria chattr +i /tmp/Carbonse o seu sistema de arquivos permitir, pois poucos scripts saberão como lidar com arquivos imutáveis.

Icaro
fonte
3
Eu poderia encontrar o caminho absoluto dentro da pasta / tmp. Parece que foi criado por outra coisa.
Habib Ullah Bahar
Os primeiros passos não são muito úteis. Você está confiando no autor do malware sendo incompetente. Alguns são, mas este é um gerador de dinheiro, eles podem contratar programadores competentes. Lembre-se, esse malware não está se escondendo muito bem.
Gilles 'SO- stop be evil'
11
@ Gilles Concordo que estou confiando no autor que não está se esforçando muito, como disse na minha primeira frase. Estou respondendo à pergunta como está escrita, não como genérica how do I remove malware from my server.
icarus
@icarus a medida de distância do intervalo funcionou bem, obrigado. Mas, como recomendado por todos, já começou a reconstruir outro servidor a partir do zero.
Habib Ullah Bahar
7

Seu servidor parece ter sido comprometido pelo malware BitCoin miner. Veja o tópico ServerFault @dhag publicado. Além disso, esta página possui muitas informações.

Parece ser o que é chamado de "malware sem arquivo" - você não pode encontrar o executável em execução porque não deveria. Ele está consumindo toda a capacidade da CPU, porque está sendo usada para minerar criptomoedas.

Tanner Babcock
fonte
2
Eu diria que ele extrai algumas moedas alt, não o próprio bitcoin.
CodesInChaos
A página vinculada sobre malware sem arquivo parece ser sobre um programa do Windows, mas este servidor está executando o ubuntu.
icarus
3
Isso minas Monero.
Dmitry Kudriavtsev