매일 “Carbon”이라는 이름의 이상한 서비스가 100 % CPU를 차지합니다. 100 %를 차지합니다. 내 서버는 ssh 키를

지난 몇 주 동안 우분투 테스트 서버에서 이상한 활동이있었습니다. htop에서 아래 스크린 샷을 확인하십시오. 이 이상한 서비스 (암호화 마이닝 서비스처럼 보이는)는 매일 실행 중이며 CPU의 100 %를 차지합니다.
htop 스크린 샷

내 서버는 ssh 키를 통해서만 액세스 할 수 있으며 비밀번호 로그인이 비활성화되었습니다. 이 이름의 파일을 찾으려고했지만 찾을 수 없습니다.

아래 문제를 도와주세요.

  • 프로세스 ID에서 프로세스 위치를 찾는 방법은 무엇입니까?
  • 이것을 어떻게 완전히 제거합니까?
  • 이것이 내 서버에 어떻게 들어갈 수 있는지 아십니까? 서버는 주로 몇 가지 장고 배포 테스트 버전을 실행합니다.


답변

다른 답변에서 설명했듯이 컴퓨터를 사용하여 크립토 코인을 채굴하는 악성 코드입니다. 좋은 소식은 CPU와 전기를 사용하는 것 외에 다른 일을 할 가능성이 없다는 것입니다.

다음은 조금 더 많은 정보와 일단 제거한 후에 반격하기 위해 할 수있는 일입니다.

악성 코드는라는 altcoin 채굴되는 monero 가장 큰 monero 풀 중 하나에 crypto-pool.fr을 . 이 풀은 합법적이며 악성 코드의 소스가 아닐 가능성이 높습니다. 이것이 돈을 버는 방법이 아닙니다.

해당 맬웨어를 작성한 사람을 성가 시게하려면 풀 관리자에게 문의하십시오 (사이트의 지원 페이지에 이메일이 있음). 그들은 봇넷을 좋아하지 않으므로 악성 코드가 사용하는 주소 (로 시작하는 긴 문자열 42Hr...)를보고하면 해당 주소로 지불을 일시 중지하기로 결정하여 해당 조각을 작성한 해커의 삶을 살릴 것입니다 조금 더 어려워요.

이것도 도움이 될 수 있습니다. AWS EC2 인스턴스에서 지뢰 멀웨어를 어떻게 죽일 수 있습니까? (손상된 서버)


답변

프로그램이 실행되는 위치를 숨기기 위해 얼마나 많은 문제가 발생하는지에 달려 있습니다. 너무 많지 않으면

  1. 12583스크린 샷에서 프로세스 ID로 시작하십시오.
  2. 사용 ls -l /proc/12583/exe하면 절대 경로 이름에 대한 심볼릭 링크를 제공해야합니다.(deleted)
  3. 파일이 삭제되지 않은 경우 경로 이름에서 파일을 검사하십시오. 특히 링크 수가 1 인 경우, 그렇지 않은 경우 파일의 다른 이름을 찾아야합니다.

이것을 테스트 서버로 설명하므로 데이터를 저장하고 다시 설치하는 것이 좋습니다. 프로그램이 루트로 실행된다는 사실은 현재 기계를 신뢰할 수 없다는 것을 의미합니다.

업데이트 : 이제 파일이 / tmp에 있음을 알았습니다. 이것은 바이너리이기 때문에 몇 가지 선택 사항이 있습니다. 파일이 시스템에서 컴파일 중이거나 다른 시스템에서 컴파일 중입니다. 컴파일러 드라이버의 마지막 사용 시간을 보면 ls -lu /usr/bin/gcc단서가 될 수 있습니다.

스톱 갭으로, 파일에 이름이 일정한 경우이 이름으로 파일을 작성할 수 있지만 쓰기 금지되어 있습니다. 명령을 실행하는 작업이 작업을 다시 생성하는 경우를 대비하여 모든 현재 프로세스를 기록한 다음 오랫동안 잠자기하는 작은 쉘 스크립트를 제안합니다. chattr +i /tmp/Carbon파일 시스템이 허용 하는 경우 불변 파일을 처리하는 방법을 알 수있는 스크립트가 거의 없기 때문에 사용 합니다.


답변

귀하의 서버가 BitCoin 광부 멀웨어에 의해 손상된 것으로 보입니다. 게시 된 ServerFault 스레드 @dhag를 참조하십시오. 또한 이 페이지 에는 이에 대한 많은 정보가 있습니다.

그것은 “파일리스 악성 코드”라고 불리는 것 같습니다. 원하지 않는 실행 파일을 찾을 수 없습니다. 그것은 cryptocurrency를 채굴하기 위해 사용하기 때문에 모든 CPU 용량을 사용하고 있습니다.


답변