"कार्बन" नाम के साथ अजीब सेवा हर रोज चल रही है और 100% सीपीयू है

पिछले कुछ हफ्तों से, मेरे उबंटू परीक्षण सर्वर में अजीब गतिविधि हुई है। कृपया नीचे दिए गए स्क्रीनशॉट को htop से जांचें। हर दिन यह अजीब सेवा (जो एक क्रिप्टोक्यूरेंसी खनन सेवा की तरह लगती है) चल रही है और 100% सीपीयू ले रही है।

मेरा सर्वर केवल ssh कुंजी के माध्यम से सुलभ है और पासवर्ड लॉगिन अक्षम किया गया है। मैंने इस नाम की कोई भी फाइल खोजने की कोशिश की है, लेकिन कोई भी नहीं मिल सका।

क्या आप नीचे दिए गए मुद्दों के साथ मेरी मदद कर सकते हैं

• प्रोसेस आईडी से प्रोसेस लोकेशन कैसे पता करें?
• मैं इसे पूरी तरह से कैसे निकालूं?
• किसी भी विचार कैसे यह मेरे सर्वर में मिल सकता है? सर्वर मुख्य रूप से कुछ Django तैनाती का परीक्षण संस्करण चलाता है।

जैसा कि अन्य उत्तरों से समझाया गया है कि यह एक मैलवेयर है जो आपके कंप्यूटर का उपयोग मेरा क्रिप्टोकरंसीज करने के लिए करता है। अच्छी खबर यह है कि यह आपके सीपीयू और बिजली का उपयोग करने के अलावा और कुछ करने की संभावना नहीं है।

यहां थोड़ी और जानकारी दी गई है और इससे छुटकारा पाने के बाद आप वापस लड़ने के लिए क्या कर सकते हैं।

मालवेयर एक सबसे बड़े मोनरो पूल, crypto-pool.fr में से एक को मोनरो कहा जाता है । वह पूल वैध है और वे मैलवेयर के स्रोत होने की संभावना नहीं है, यही नहीं वे पैसे कैसे बनाते हैं।

यदि आप चाहते हैं कि जिसने भी उस मैलवेयर को लिखा है, तो आप पूल के व्यवस्थापक से संपर्क कर सकते हैं (उनकी साइट के समर्थन पृष्ठ पर एक ईमेल है)। उन्हें बॉटनेट्स पसंद नहीं हैं इसलिए यदि आप उन्हें मालवेयर द्वारा उपयोग किए जाने वाले पते (लंबी स्ट्रिंग जो शुरू होती है 42Hr...) को रिपोर्ट करते हैं, तो वे संभवतः उस पते पर भुगतानों को निलंबित करने का निर्णय लेंगे जो उस टुकड़े को लिखने वाले हैकर का जीवन बना देगा of sh .. थोड़ा और मुश्किल।

यह भी मदद कर सकता है: मैं एक एडब्ल्यूएस ईसी 2 उदाहरण पर माइनर मैलवेयर कैसे मार सकता हूं? (समझौता सर्वर)

यह इस बात पर निर्भर करता है कि कार्यक्रम को चलाने के लिए कितनी परेशानी आती है। अगर यह बहुत ज्यादा नहीं है

1. 12583स्क्रीनशॉट में प्रोसेस आईडी से शुरू करें
2. उपयोग करें ls -l /proc/12583/exeऔर यह आपको एक निरपेक्ष pathname के लिए एक प्रतीकात्मक लिंक देना चाहिए, जिसके साथ एनोटेट किया जा सकता है(deleted)
3. यदि यह हटाया नहीं गया है, तो पथनाम पर फ़ाइल की जांच करें। विशेष रूप से ध्यान दें यदि लिंक की गिनती 1. है। यदि यह नहीं है तो आपको फ़ाइल के अन्य नामों को खोजने की आवश्यकता होगी।

चूंकि आप इसे एक परीक्षण सर्वर के रूप में वर्णित करते हैं, आप किसी भी डेटा को सहेजने और पुनः इंस्टॉल करके संभवतः बेहतर हैं। तथ्य यह है कि कार्यक्रम रूट के रूप में चल रहा है इसका मतलब है कि आप वास्तव में अब मशीन पर भरोसा नहीं कर सकते।

अद्यतन: हम अब जानते हैं कि फ़ाइल / tmp में है। चूंकि यह एक द्विआधारी है, तो कुछ विकल्प हैं, फ़ाइल को सिस्टम पर संकलित किया जा रहा है या इसे किसी अन्य सिस्टम पर संकलित किया जा रहा है। संकलक चालक के अंतिम उपयोग समय पर एक नज़र ls -lu /usr/bin/gccआपको एक संकेत दे सकता है।

स्टॉपगैप के रूप में, यदि फ़ाइल में एक स्थिर नाम है, तो आप इस नाम के साथ एक फ़ाइल बना सकते हैं, लेकिन संरक्षित है। मैं एक छोटी सी शेल स्क्रिप्ट का सुझाव दूंगा जो सभी वर्तमान प्रक्रियाओं को लॉग करती है और फिर लंबे समय तक सोती है बस जब भी कमांड चल रही हो, नौकरी का जवाब देती है। chattr +i /tmp/Carbonअगर आपका फाइल सिस्टम इसे अनुमति देता है तो मैं इसका उपयोग करूंगा क्योंकि कुछ लिपियों को पता चल जाएगा कि अपरिवर्तनीय फ़ाइलों से कैसे निपटना है।

आपके सर्वर को प्रतीत होता है कि बिटकॉइन माइनर मालवेयर द्वारा समझौता किया गया है। सर्वरफॉल्ट थ्रेड @dhag पोस्ट देखें। साथ ही, इस पेज में इसके बारे में बहुत सारी जानकारी है।

ऐसा प्रतीत होता है कि जिसे "फाइललेस मालवेयर" कहा जाता है - आप चल रहे निष्पादन योग्य को नहीं ढूंढ सकते हैं क्योंकि आप ऐसा करने वाले नहीं हैं। यह आपकी सभी सीपीयू क्षमता का उपयोग कर रहा है, क्योंकि यह मेरा क्रिप्टोक्यूरेंसी का उपयोग कर रहा है।