每天都会运行名称为“ Carbon”的奇怪服务，并占用100％CPU

最近几周，我的Ubuntu测试服务器上发生了奇怪的活动。请从htop检查以下屏幕截图。每天，这种奇怪的服务（似乎是一种加密货币挖掘服务）正在运行并占用100％的CPU。

我的服务器只能通过ssh键访问，并且密码登录已禁用。我试图找到任何具有此名称的文件，但找不到任何文件。

您能帮我解决以下问题吗

• 如何从进程ID查找进程位置？
• 我如何彻底删除它？
• 知道这怎么可能进入我的服务器吗？该服务器主要运行少数Django部署的测试版。

如其他答案所解释，这是一种使用您的计算机来挖掘加密货币的恶意软件。好消息是，除了使用CPU和电力以外，它不可能做其他任何事情。

这里有更多信息，您还可以采取一些措施来进行反击。

该恶意软件正在将名为monero的山寨币开采到最大的monero池之一crypto-pool.fr中。该池是合法的，它们不太可能成为恶意软件的来源，而这不是他们赚钱的方式。

如果您想惹恼编写该恶意软件的任何人，则可以与池管理员联系（该站点的支持页面上有一封电子邮件）。他们不喜欢僵尸网络，因此如果您向他们报告恶意软件使用的地址（以开头的长字符串42Hr...），他们可能会决定暂停对该地址的付款，这将使编写该文件的黑客得以生存的..有点困难。

这也可能会有所帮助：如何在AWS EC2实例上杀死恶意软件？（受损的服务器）

它取决于程序隐藏运行源的麻烦程度。如果不是太多的话

1. 从12583屏幕快照中的进程ID开始
2. 使用ls -l /proc/12583/exe，它应该为您提供指向绝对路径名的符号链接，该链接可能带有以下注释(deleted)
3. 如果路径名没有被删除，请检查该文件。请特别注意链接数是否为1。如果不是，那么您将需要查找文件的其他名称。

由于您将其描述为测试服务器，因此保存所有数据并重新安装可能会更好。该程序以root用户身份运行，这一事实意味着您现在真的无法信任该计算机。

更新：现在我们知道该文件在/ tmp中。由于这是二进制文件，因此有两种选择，文件是在系统上编译的，还是在另一个系统上编译的。查看编译器驱动程序的上次使用时间ls -lu /usr/bin/gcc可能会为您提供线索。

作为权宜之计，如果文件具有常量名称，则可以使用该名称创建文件，但该文件具有写保护。我建议使用一个小的Shell脚本来记录所有当前进程，然后睡眠很长时间，以防万一正在运行的命令重新生成该作业。我会使用chattr +i /tmp/Carbon您的文件系统允许的脚本，因为很少有脚本会知道如何处理不可变文件。

您的服务器似乎已被BitCoin矿工恶意软件破坏。请参阅ServerFault线程@dhag。另外，此页面上有很多相关信息。

它似乎是所谓的“无文件恶意软件”-您找不到运行的可执行文件，因为您不应该这样做。它耗尽了您所有的CPU容量，因为它正在使用它来挖掘加密货币。