名为“Carbon”的奇怪服务每天运行并占用 100% CPU

Question

在过去的几周里，我的 Ubuntu 测试服务器中出现了一些奇怪的活动。请检查以下来自 htop 的屏幕截图。每天这个奇怪的服务（看起来像一个加密货币挖掘服务）都在运行并占用 100% 的 CPU。

我的服务器只能通过 ssh 密钥访问，密码登录已被禁用。我试图找到任何具有此名称的文件，但找不到任何文件。

你能帮我解决以下问题吗

• 如何从进程ID中找到进程位置？
• 我如何完全删除它？
• 知道这可能如何进入我的服务器吗？服务器主要运行少数 Django 部署的测试版本。

Answer 1

正如其他答案所解释的那样，这是一种使用您的计算机来挖掘加密货币的恶意软件。好消息是，除了使用 CPU 和电力之外，它不太可能做任何其他事情。

这里有更多信息，以及一旦摆脱它你可以做些什么来反击。

该恶意软件正在挖掘一种名为monero的山寨币到最大的 monero 池之一，crypto-pool.fr。该池是合法的，它们不太可能是恶意软件的来源，这不是它们赚钱的方式。

如果您想惹恼编写该恶意软件的任何人，您可以联系该池的管理员（他们网站的支持页面上有一封电子邮件）。他们不喜欢僵尸网络，所以如果你向他们报告恶意软件使用的地址（以 开头的长字符串42Hr...），他们可能会决定暂停向该地址付款，这将使编写该文章的黑客的生命成为可能sh..有点困难。

这也可能有帮助：如何在 AWS EC2 实例上杀死 minred 恶意软件？（受损的服务器）

Answer 2

这取决于程序在隐藏其运行位置时遇到的麻烦。如果不是太多那么

1. 从12583屏幕截图中的进程 ID 开始
2. 使用ls -l /proc/12583/exe它应该给你一个绝对路径名的符号链接，可以用(deleted)
3. 如果文件没有被删除，请检查路径名处的文件。尤其要注意链接数是否为 1。如果不是，则您需要查找文件的其他名称。

由于您将其描述为测试服务器，因此保存所有数据并重新安装可能会更好。该程序以 root 身份运行的事实意味着您现在真的不能信任这台机器。

更新：我们现在知道文件在 /tmp 中。由于这是一个二进制文件，因此有多种选择，文件是在系统上编译还是在另一个系统上编译。查看编译器驱动程序的上次使用时间ls -lu /usr/bin/gcc可能会给您一个线索。

作为权宜之计，如果文件具有常量名称，您可以使用此名称创建一个文件，但它是写保护的。我建议使用一个小的 shell 脚本来记录所有当前进程，然后休眠很长时间，以防万一正在运行的命令重新生成作业。chattr +i /tmp/Carbon如果您的文件系统允许，我会使用它，因为很少有脚本知道如何处理不可变文件。

Answer 3

您的服务器似乎已被比特币矿工恶意软件入侵。请参阅发布的 ServerFault 线程 @dhag。此外，这个页面有很多关于它的信息。

它似乎是所谓的“无文件恶意软件”——您无法找到正在运行的可执行文件，因为您不应该这样做。它耗尽了你所有的 CPU 容量，因为它正在使用它来挖掘加密货币。