「Carbon」という名前の奇妙なサービスは毎日実行されており、CPUを100％占有しています

ここ数週間、Ubuntuテストサーバーで奇妙な活動がありました。以下のスクリーンショットをhtopから確認してください。毎日、この奇妙なサービス（暗号通貨マイニングサービスのように見える）が実行されており、CPUを100％使用しています。

サーバーはsshキーを介してのみアクセス可能であり、パスワードによるログインは無効になっています。この名前のファイルを見つけようとしましたが、見つかりませんでした。

以下の問題で私を助けてください

• プロセスIDからプロセスの場所を見つける方法
• これを完全に削除するにはどうすればよいですか？
• これが私のサーバーにどのように侵入するか考えていますか？サーバーは、主にいくつかのDjangoデプロイメントのテストバージョンを実行します。

他の回答で説明されているように、それはコンピューターを使用して暗号コインをマイニングするマルウェアです。良いニュースは、CPUと電力を使用する以外に何かをする可能性は低いということです。

ここにもう少し情報があり、それを取り除いたら反撃することができます。

このマルウェアは、moneroと呼ばれるaltcoinを最大のmoneroプールの1つであるcrypto-pool.frにマイニングしています。そのプールは合法であり、マルウェアのソースとなる可能性は低いです。それは、彼らがお金を稼ぐ方法ではありません。

そのマルウェアを書いた人をいらいらさせたい場合は、プールの管理者に連絡してください（サイトのサポートページにメールがあります）。彼らはボットネットが好きではないため、マルウェアが使用するアドレス（で始まる長い文字列42Hr...）を報告すると、おそらくそのアドレスへの支払いを一時停止することを決定し、その作品を書いたハッカーの命を救いますsh ..もう少し難しい。

これも役立つ場合があります：AWS EC2インスタンスでMinerdマルウェアを殺すにはどうすればよいですか？（侵害されたサーバー）

それは、プログラムがどこから実行されているかを隠すためにどれだけのトラブルが起こるかに依存します。それが多すぎない場合

1. 12583スクリーンショットのプロセスIDから始めます
2. を使用するls -l /proc/12583/exeと、絶対パス名へのシンボリックリンクが提供されます。(deleted)
3. 削除されていない場合は、パス名のファイルを調べます。リンク数が1の場合は特に注意してください。そうでない場合は、ファイルの他の名前を見つける必要があります。

これをテストサーバーとして説明するので、データを保存して再インストールする方がよいでしょう。プログラムがルートとして実行されているという事実は、あなたが本当にマシンを本当に信頼できないことを意味します。

更新：ファイルが/ tmpにあることがわかりました。これはバイナリであるため、いくつかの選択肢があります。ファイルはシステムでコンパイルされているか、別のシステムでコンパイルされています。コンパイラドライバーの最後の使用時間を見るls -lu /usr/bin/gccと、手がかりが得られる場合があります。

一時停止として、ファイルに定数名がある場合、この名前でファイルを作成できますが、書き込み保護されています。コマンドを実行しているものがジョブを再生成する場合に備えて、現在のすべてのプロセスを記録し、長時間スリープする小さなシェルスクリプトをお勧めします。chattr +i /tmp/Carbon少数のスクリプトが不変ファイルの処理方法を知っているため、ファイルシステムで許可されている場合に使用します。

サーバーがBitCoinマイナーマルウェアによって侵害されたようです。@dhagが投稿したServerFaultスレッドを参照してください。また、このページには多くの情報があります。

「ファイルレスマルウェア」と呼ばれるもののように見えます-実行するはずのない実行ファイルを見つけることができません。暗号通貨をマイニングするために使用しているため、すべてのCPU容量を使い果たしています。