지난 몇 주 동안 Ubuntu 테스트 서버에서 이상한 활동을 경험했습니다. htop에서 다음 스크린샷을 확인하세요. 이 이상한 서비스(암호화폐 채굴 서비스처럼 보임)는 매일 실행되며 CPU를 100% 소모합니다.
내 서버는 SSH 키를 통해서만 액세스할 수 있으며 비밀번호 로그인이 비활성화되어 있습니다. 이 이름을 가진 파일을 찾으려고 노력했지만 찾을 수 없습니다.
다음 문제를 해결하도록 도와주실 수 있나요?
- 프로세스 ID를 기반으로 프로세스 위치를 찾는 방법은 무엇입니까?
- 이것을 완전히 제거하려면 어떻게 해야 합니까?
- 이것이 내 서버에 어떻게 들어가는지 아시나요? 서버는 주로 Django 배포의 일부 테스트 버전을 실행합니다.
답변1
다른 답변에서 설명했듯이 이는 컴퓨터를 사용하여 암호화폐를 채굴하는 악성 코드입니다. 좋은 소식은 CPU와 전력을 사용하는 것 외에는 아무 것도 하지 않는다는 것입니다.
여기에 더 많은 정보와 이를 제거한 후 반격할 수 있는 방법이 나와 있습니다.
악성 코드는 다음과 같은 방법을 마이닝하고 있습니다.모네로가장 큰 모네로 풀 중 하나인cryptopool.fr. 풀은 합법적이며 맬웨어의 소스가 될 가능성이 낮으며 이것이 돈을 버는 방법이 아닙니다.
이 악성코드를 작성한 사람을 괴롭히고 싶다면 풀 관리자에게 문의하세요(해당 웹사이트의 지원 페이지에 이메일이 있습니다). 그들은 봇넷을 좋아하지 않으므로 맬웨어가 사용하는 주소(긴 문자열로 시작)를 신고하면 42Hr...해당 주소에 대한 지불을 중단하기로 결정할 수 있으며, 이로 인해 기사를 작성한 해커는 약간의 충격을 받게 될 것입니다. 어려운 .
이는 또한 도움이 될 수 있습니다:AWS EC2 인스턴스에서 미나드 악성 코드를 어떻게 제거합니까? (감염된 서버)
답변2
프로그램이 실행 중인 위치를 숨기기가 얼마나 어려운지에 따라 다릅니다. 너무 많지 않다면
12583스크린샷의 프로세스 ID로 시작하세요.- 이것을 사용하면
ls -l /proc/12583/exe주석 처리할 수 있는 절대 경로 이름에 대한 심볼릭 링크가 제공됩니다.(deleted) - 경로명에 있는 파일이 삭제되지 않았는지 확인하세요. 링크 수가 1인지 특히 주의하세요. 그렇지 않은 경우 파일의 다른 이름을 찾아야 합니다.
테스트 서버라고 설명하시는 것이므로, 모든 데이터를 저장하고 재설치하시는 것이 더 나을 수도 있습니다. 이 프로그램이 루트로 실행되고 있다는 사실은 현재 머신을 신뢰할 수 없다는 것을 의미합니다.
업데이트: 이제 파일이 /tmp에 있다는 것을 알게 되었습니다. 이진 파일이므로 여러 가지 옵션이 있습니다. 파일이 시스템에서 컴파일되고 있거나 다른 시스템에서 컴파일되고 있습니다. 컴파일러 드라이버가 마지막으로 사용된 시간을 보면 ls -lu /usr/bin/gcc단서를 얻을 수 있습니다.
해결 방법으로 파일에 상수 이름이 있는 경우 해당 이름으로 파일을 생성할 수 있지만 파일은 쓰기 금지되어 있습니다. 모든 현재 프로세스를 기록한 다음 명령을 실행하면 작업이 다시 생성될 경우를 대비해 오랜 시간 동안 대기하는 작은 셸 스크립트를 사용하는 것이 좋습니다. chattr +i /tmp/Carbon불변 파일을 처리하는 방법을 아는 스크립트는 거의 없기 때문에 파일 시스템에서 허용하는 경우 이를 사용하겠습니다 .
답변3
귀하의 서버가 비트코인 채굴 악성코드에 의해 손상된 것 같습니다.@dhag가 게시한 ServerFault 스레드를 참조하세요.반품,이 페이지그것에 대한 많은 정보가 있습니다.
이는 "파일 없는 악성 코드"라고 불리는 것으로 보입니다. 실행 중인 실행 파일을 찾을 수 없기 때문에 찾을 수 없습니다. 암호화폐를 채굴하는 데 CPU 용량을 모두 사용합니다.