Prozess "bittu" braucht 200% CPU

S

stefkey

Member
Hi,

kennt jemand einen Prozess namens "bittu"? Websuche liefert mir nichts. Der nutzt 200% :mad:
 

Attachments

  • Bildschirmfoto 2017-08-05 um 21.56.13.png
    Bildschirmfoto 2017-08-05 um 21.56.13.png
    97.9 KB · Views: 180
Ich vermute dass der Server gehackt worden ist und jetzt Bitcoins am Minen ist. Sticht was heraus wenn du mit "strings /tmp/bittu-o-k-B" das File ausliest?
 
strings: '/tmp/bittu-o-k-B': No such file
Mit strings: '/tmp/bittu' kommt ne Menge Zeug...

/tmp/bittu wurde am 13.07.2017 um 1:37 erstellt.

Macht es Sinn den Process zu killen erstmal? Bitcoints minen ist ja erst mal nicht schlimm denke ich, oder? (bis auf den Stromverbrauch, Auslastung, etc.)
 
Wenn ein unbekanntes Programm unter root läuft, dann ist das schlimm!

Schalte den Server sofort ab und sichere möglichst über ein externes Rescue System die Spuren. Und dann analysiere, wie das Teil dort drauf kommen konnte. Danach muss die Kiste neu installiert werden, ohne dem vorherigen Einfallstor.
 
Und "strings /tmp/bittu | fgrep -e :// -e stratum" wäre auch interessant
 
Mache am Besten erstmal ein
Code: 
/bin/kill -s SIGSTOP $(pidof bittu)
und friere den Prozess damit ein. Der bekommt dann keine Rechenzeit mehr und kann sich nicht mehr dagegen wehren wenn jemand herumanalysiert.
Beenden kannst du ihn so allerdings auch nicht mehr, der muss dann vorher mit SIGCONT wieder aufgetaut werden.

Dann kannst du mal ins Verzeichnis /proc/$(pidof bittu)/fd wechseln und dir mit "ls -la" ansehen, welche Dateien er geöffnet hat und möglicherweise darüber die ursprünglich gelöschte Datei unter /tmp wiederherstellen - nötigenfalls mit
Code: 
cat /proc/$(pidof bittu)/fd/25 > /root/dateiname
(Wobei ich mir die 25 jetzt einfach mal ausgedacht habe)


Nachdem da ein freeswitch auf deinem Server läuft wäre übrigens auch jetzt der richtige Zeitpunkt, alle VoIP-Zugangsdaten zu ändern...
 
Lord Gurke said:
Beenden kannst du ihn so allerdings auch nicht mehr, der muss dann vorher mit SIGCONT wieder aufgetaut werden.
Click to expand...

Scheint hier zu funktionieren:

Termflow:
Code: 
  $> sleep 300                                |
                                              |  $> pgrep sleep
                                              |  12478
                                              |  $> kill -STOP 12478
  [1]  + 12478 suspended (signal)  sleep 300  |
                                              |  $> kill -KILL 12478
  [1]  + 12478 killed     sleep 300           |
                                              |  $> pgrep sleep
                                              |  $> exit
  $> exit                                     |
 
Sieh es mal positiv. Deine ungenutzte Rechenpower hat anderen zu Geld verholfen und wahrscheinlich wird dein Server nicht andere Ziele angegriffen haben, was für dich dann auch keine Konsequenzen haben wird.

  1. Herausfinden wieso die Kiste gehackt worden ist
  2. Kiste platt machen und neu einrichten
  3. Vorherigen Fehler vermeiden.
 
Fusl said:
Ich vermute dass der Server gehackt worden ist und jetzt Bitcoins am Minen ist. Sticht was heraus wenn du mit "strings /tmp/bittu-o-k-B" das File ausliest?
Click to expand...

stefkey said:
strings: '/tmp/bittu-o-k-B': No such file
Mit strings: '/tmp/bittu' kommt ne Menge Zeug...

/tmp/bittu wurde am 13.07.2017 um 1:37 erstellt.

Macht es Sinn den Process zu killen erstmal? Bitcoints minen ist ja erst mal nicht schlimm denke ich, oder? (bis auf den Stromverbrauch, Auslastung, etc.)
Click to expand...

Blöde Frage, aber wie kommt Ihr auf einen Bitcoinclient? Ich konnte das per Google irgendwie gar nicht verifizieren.


Unabhängig davon: Speicherort, Speicherverbrauch, Systemlast und Laufzeit sprechen zwar relativ deutlich für eine Malware, aber auch dazu wurde ich bei Google nicht wirklich fündig.


Also ernsthafte Frage: Ist das wirklich eine Malware und wenn ja, was genau macht sie?
 
Malware möchte nicht auffallen. Malware, die 200% CPU-Last erzeugt ist entweder kaputt oder ein Bitcoin-Miner. In der heutigen Zeit passiert das sehr häufig. Wieso nicht die ungenutzten Ressourcen dazu aufwenden neue Blöcke zu berechnen. Ich finde diese Idee einfach klasse und es tut niemanden weh. Der Miner hat seinen Vorteil und der Administrator hat dann einen Erkenntnisgewinn.
 
DeaD_EyE said:
Ich finde diese Idee einfach klasse und es tut niemanden weh.
Click to expand...

Falsch, der Bitcoin-Miner sorgt auf jedem Fall für einen höheren Stromverbrauch. Entweder der Kunde zahlt es direkt, weil sein Stromverbrauch gemessen und ihm berechnet wird oder die Allgemeinheit der Kunden durch generell höhere Preise auf Grund gestiegener Energiekosten, falls der Strom pauschal berechnet wurde (was bei vielen Verträgen der Fall ist).
 
Joe User said:
Auf einem vServer? Da reicht unter Umständen bereits ein sort...
Click to expand...
Das ist dann vielleicht kein guter vServer. ;)

Ich würde auch in Richtung Bitcoin-Mining denken, hatten erst kürzlich einen solchen Fall bei einem Kunden analysiert. Dem war es auch nur wegen der CPU-Last aufgefallen. Lief auch schon eine kleine Ewigkeit, hat halt sonst nichts Böses getan. :D

Ein Managed-Kunde mehr. ;)

Viele Grüße
Tim
 
DeaD_EyE said:
Malware möchte nicht auffallen. Malware, die 200% CPU-Last erzeugt ist entweder kaputt oder ein Bitcoin-Miner.
Click to expand...

Sollte man meinen. Ist aber üblicherweise dann doch so. Glück für die Serverkunden, dass die meisten Täter so unbedarft/unklug sind und grenzenlos alle vorhandenen Resourcen benutzen, damit das sofort auffallen muss.
 
You must log in or register to reply here.
Back
Top