প্রতিদিন "কার্বন" নামে চলমান অদ্ভুত পরিষেবা এবং 100% সিপিইউ দখল করে

গত কয়েক সপ্তাহ ধরে আমার উবুন্টু পরীক্ষার সার্ভারে এক অদ্ভুত ক্রিয়াকলাপ চলছে। এইচটিপি থেকে নীচের স্ক্রিনশটটি পরীক্ষা করুন। প্রতিদিন এই অদ্ভুত পরিষেবাটি (যা মনে হয় একটি ক্রিপ্টোকারেন্সি খনির পরিষেবাদির মতো) চলছে এবং 100% সিপিইউ নিচ্ছে।

আমার সার্ভারটি কেবল ssh কী এর মাধ্যমে অ্যাক্সেসযোগ্য এবং পাসওয়ার্ড লগইন অক্ষম করা হয়েছে। এই নামটি দিয়ে আমি কোনও ফাইল সন্ধান করার চেষ্টা করেছি, তবে কোনও খুঁজে পেলাম না।

আপনি কি দয়া করে নীচের সমস্যাগুলির সাথে আমাকে সহায়তা করতে পারেন?

• প্রক্রিয়া আইডি থেকে প্রক্রিয়া অবস্থানটি কীভাবে সন্ধান করবেন?
• আমি কীভাবে এটি পুরোপুরি সরিয়ে ফেলব?
• এটি কীভাবে আমার সার্ভারে প্রবেশ করতে পারে কোনও ধারণা? সার্ভারটি কয়েকটি জ্যাঙ্গো মোতায়েনের মূলত পরীক্ষামূলক সংস্করণ চালায়।

অন্যান্য উত্তর দ্বারা ব্যাখ্যা হিসাবে এটি ম্যালওয়্যার যা আপনার কম্পিউটারকে ক্রিপ্টোকাইনগুলি খনিতে ব্যবহার করে। সুসংবাদটি হ'ল এটি আপনার সিপিইউ এবং বিদ্যুত ব্যবহার ব্যতীত অন্য কিছু করার সম্ভাবনা কম।

এখানে আরও কিছু তথ্য দেওয়া হয়েছে এবং আপনি এ থেকে মুক্তি পেয়ে একবার লড়াই করার জন্য আপনি কী করতে পারেন।

ম্যালওয়্যার একটি altcoin নামক মাইনিং হয় monero বৃহত্তম monero পুল এক, এর crypto-pool.fr । এই পুলটি বৈধ এবং এগুলি ম্যালওয়ারের উত্স হওয়ার সম্ভাবনা নেই, তারা কীভাবে অর্থ উপার্জন করে তা নয়।

আপনি যদি এই ম্যালওয়্যারটি লিখেছেন তা যদি আপনি বিরক্ত করতে চান তবে আপনি পুলের প্রশাসকের সাথে যোগাযোগ করতে পারেন (তাদের সাইটের সমর্থন পৃষ্ঠায় একটি ইমেল রয়েছে)। তারা বোটনেট পছন্দ করে না তাই আপনি যদি তাদের কাছে ম্যালওয়্যার দ্বারা ব্যবহৃত ঠিকানাটি (যে দীর্ঘ সূত্রটি শুরু হয় 42Hr...) তাদের কাছে জানান তবে তারা সম্ভবত সেই ঠিকানায় অর্থ প্রদান স্থগিত করার সিদ্ধান্ত নেবে যা সেই হ্যাকারের জীবনকে করবে যে এই টুকরোটি লিখেছিল of sh .. কিছুটা বেশি কঠিন।

এটিও সহায়তা করতে পারে: আমি কীভাবে একটি এডাব্লুএস ইসি 2 উদাহরণে মিনিয়ার্ড ম্যালওয়্যারকে হত্যা করতে পারি? (আপোস করা সার্ভার)

প্রোগ্রামটি কোথায় থেকে চালানো হয়েছে তা আড়াল করতে কতটা সমস্যা হয় তার উপর নির্ভর করে। যদি এটি খুব বেশি না হয়

1. প্রক্রিয়া আইডি 12583দিয়ে স্ক্রিনশটটিতে শুরু করুন
2. ব্যবহার করুন ls -l /proc/12583/exeএবং এটি আপনাকে একটি পরম পথের একটি প্রতীকী লিঙ্ক দেওয়া উচিত, যা দিয়ে টীকায়িত হতে পারে(deleted)
3. যদি ফাইলটি মুছে না দেওয়া হয় তবে পথের নাম থেকে ফাইলটি পরীক্ষা করুন। লিঙ্কের সংখ্যাটি যদি 1 হয় তবে বিশেষত নোট করুন এটি যদি না হয় তবে আপনাকে ফাইলটির অন্য নামগুলি সন্ধান করতে হবে।

যেহেতু আপনি এটিকে পরীক্ষার সার্ভার হিসাবে বর্ণনা করেছেন তাই কোনও ডেটা সঞ্চয় করে এবং পুনরায় ইনস্টল করে আপনি সম্ভবত আরও ভাল। প্রোগ্রামটি রুট হিসাবে চলছে এর অর্থ আপনি এখনই মেশিনকে বিশ্বাস করতে পারবেন না।

আপডেট: আমরা এখন জানি ফাইলটি / টিএমপি-তে রয়েছে। যেহেতু এটি একটি বাইনারি, বেশ কয়েকটি পছন্দ রয়েছে, ফাইলটি সিস্টেমে সংকলিত হচ্ছে বা এটি অন্য সিস্টেমে সংকলিত হচ্ছে। সংকলক ড্রাইভারের শেষ ব্যবহারের সময়টি একবার ls -lu /usr/bin/gccআপনাকে একটি ক্লু দিতে পারে।

স্টপগ্যাপ হিসাবে, যদি ফাইলটির একটি ধ্রুবক নাম থাকে তবে আপনি এই নামটি দিয়ে একটি ফাইল তৈরি করতে পারেন তবে রাইটিং সুরক্ষিত। আমি একটি ছোট শেল স্ক্রিপ্ট প্রস্তাব করব যা সমস্ত বর্তমান প্রক্রিয়াগুলিতে লগ করে এবং তারপরে দীর্ঘ সময় ধরে ঘুমিয়ে থাকে কেবলমাত্র কমান্ডটি চালিয়ে যাওয়া যদি কাজটি প্রত্যাহার করে। আমি chattr +i /tmp/Carbonযদি আপনার ফাইল সিস্টেমটি এটির অনুমতি দেয় তবে কয়েকটি স্ক্রিপ্ট কীভাবে অপরিবর্তনীয় ফাইলগুলির সাথে ডিল করতে হয় তা জানতে পারে।

আপনার সার্ভারটি বিটকয়েন মাইনার ম্যালওয়ার দ্বারা আপোস করা হয়েছে বলে মনে হয়। @ ধাগ পোস্ট করা সার্ভারফল্ট থ্রেড দেখুন। এছাড়াও, এই পৃষ্ঠায় এটি সম্পর্কে অনেক তথ্য রয়েছে।

এটি "ফাইলহীন ম্যালওয়্যার" নামে পরিচিত বলে মনে হয় - আপনি চলমান এক্সিকিউটেবলটি খুঁজে পাবেন না কারণ আপনার ধারণা করা হয় নি। এটি আপনার সমস্ত সিপিইউ ক্ষমতা ব্যবহার করে, কারণ এটি এটি ক্রিপ্টোকারেন্সি ব্যবহার করে।