Servicio extraño con el nombre "Carbon" que se ejecuta todos los días y ocupa el 100% de la CPU

Durante las últimas semanas, ha habido una actividad extraña en mi servidor de prueba de Ubuntu. Por favor, consulte la siguiente captura de pantalla de htop. Todos los días, este servicio extraño (que parece un servicio de minería de criptomonedas) se ejecuta y toma el 100% de la CPU.

Solo se puede acceder a mi servidor mediante la clave ssh y se ha deshabilitado el inicio de sesión con contraseña. Intenté encontrar cualquier archivo con este nombre, pero no pude encontrar ninguno.

¿Me pueden ayudar con los siguientes problemas?

• ¿Cómo encontrar la ubicación del proceso desde la ID del proceso?
• ¿Cómo elimino esto completamente?
• ¿Alguna idea de cómo puede llegar esto a mi servidor? El servidor ejecuta principalmente la versión de prueba de algunas implementaciones de Django.

Como se explica en otras respuestas, es un malware que utiliza su computadora para extraer criptomonedas. La buena noticia es que es poco probable que haga algo más que usar su CPU y electricidad.

Aquí hay un poco más de información y lo que puede hacer para defenderse una vez que lo haya eliminado.

El malware está extrayendo un altcoin llamado monero a uno de los grupos de monero más grandes, crypto-pool.fr . Ese grupo es legítimo y es poco probable que sean la fuente del malware, no es así como ganan dinero.

Si desea molestar a quien escribió ese malware, puede comunicarse con el administrador del grupo (hay un correo electrónico en la página de soporte de su sitio). No les gustan las botnets, por lo que si les informa la dirección utilizada por el malware (la cadena larga que comienza con 42Hr...), probablemente decidirán suspender los pagos a esa dirección, lo que hará la vida del pirata informático que escribió esa pieza de sh .. un poco más difícil.

Esto también puede ayudar: ¿cómo puedo eliminar el malware minerd en una instancia de AWS EC2? (servidor comprometido)

Depende de la cantidad de problemas a los que se dirige el programa para ocultar desde dónde se ejecuta. Si no es demasiado, entonces

1. Comience con la ID del proceso, 12583en la captura de pantalla
2. use ls -l /proc/12583/exey debería darle un enlace simbólico a un nombre de ruta absoluto, que puede ser anotado con(deleted)
3. examine el archivo en la ruta si no se ha eliminado. Observe en particular si el recuento de enlaces es 1. Si no es así, deberá encontrar los otros nombres para el archivo.

Como lo describe como un servidor de prueba, probablemente sea mejor guardar los datos y volver a instalarlos. El hecho de que el programa se ejecute como root significa que realmente no puede confiar en la máquina ahora.

actualización: ahora sabemos que el archivo está en / tmp. Como se trata de un archivo binario, hay un par de opciones: el archivo se está compilando en el sistema o se está compilando en otro sistema. Una mirada al último tiempo de uso del controlador del compilador ls -lu /usr/bin/gccpodría darle una pista.

Como recurso provisional, si el archivo tiene un nombre constante, puede crear un archivo con este nombre pero está protegido contra escritura. Sugeriría un pequeño script de shell que registra todos los procesos actuales y luego duerme durante mucho tiempo en caso de que lo que se esté ejecutando el comando reaparezca el trabajo. Lo usaría chattr +i /tmp/Carbonsi su sistema de archivos lo permite, ya que pocos scripts sabrán cómo tratar con archivos inmutables.

Su servidor parece haber sido comprometido por el malware de BitCoin Miner. Vea el hilo ServerFault @dhag publicado. Además, esta página tiene mucha información al respecto.

Parece ser lo que se llama "malware sin archivos": no puede encontrar el ejecutable en ejecución porque se supone que no debe hacerlo. Está utilizando toda la capacidad de su CPU, porque la está utilizando para extraer criptomonedas.