Что за процесс top, котовый потребляет весь CPU?

Question

[V N]

На Centos 7.8 в виртуальной машине вертится один сайт bitrix.
У сервера, очень неплохие тех характеристики. ОЗУ 64 GB, CPU i7, ssd 256

Пользователь bitrix отъедает весь CPU процессом ./top

2949 bitrix    20   0 2472972   2.3g      8 S 400.0  3.7   6861:50 top

сам процесс

ps -ef | grep 2949
bitrix    2949     1 99 Jul26 ?        4-18:25:02 ./top

Подскажите, кто сталкивался с такой ситуацией?


Если посмотреть на пид, через lsof, то катина такая

lsof -p 2949
COMMAND  PID   USER   FD      TYPE DEVICE SIZE/OFF     NODE NAME
top     2949 bitrix  cwd       DIR  253,0     4096        2 /
top     2949 bitrix  rtd       DIR  253,0     4096        2 /
top     2949 bitrix  txt       REG  253,0  2757388  5242952 /tmp/xtmp/top (deleted)
top     2949 bitrix  mem       REG  253,0     1518 12322320 /usr/share/zoneinfo/Europe/Moscow
top     2949 bitrix    0r     FIFO    0,9      0t0    33865 pipe
top     2949 bitrix    1w     FIFO    0,9      0t0    33866 pipe
top     2949 bitrix    2w     FIFO    0,9      0t0    33866 pipe
top     2949 bitrix    3u  a_inode   0,10        0     6451 [eventpoll]
top     2949 bitrix    4r     FIFO    0,9      0t0    29139 pipe
top     2949 bitrix    5w     FIFO    0,9      0t0    29139 pipe
top     2949 bitrix    6r     FIFO    0,9      0t0    28557 pipe
top     2949 bitrix    7w     FIFO    0,9      0t0    28557 pipe
top     2949 bitrix    8u  a_inode   0,10        0     6451 [eventfd]
top     2949 bitrix    9w      REG  253,0  1660426  4849870 /tmp/.systemd.log
top     2949 bitrix   10u  a_inode   0,10        0     6451 [eventfd]
top     2949 bitrix   11u  a_inode   0,10        0     6451 [eventfd]
top     2949 bitrix   12r      CHR    1,3      0t0     1028 /dev/null
top     2949 bitrix   13r  a_inode   0,10        0     6451 inotify
top     2949 bitrix   14u     IPv4  37510      0t0      TCP mydomain.com:35476->rdns3.gob-notificaciones.com:http (ESTABLISHED)

Comments

[Melkij]

Скорей всего криптомайнер

[accesser]

это вредоносная программа. Криптомайнер

Попала она к вам через уязвимости в вашем сайте. Для устранения уязвимостей рекомендуем обновить CMS Битрикс и его модули до последних версий. Также стоит обратиться к разработчику вашего сайта по этой ситуации или в поддержку Битрикс за дополнительной информацией.

Такая программа зачастую оказывается в директории /home/bitrix в качестве скрытого файла, поэтому увидеть его можно только через команду ls -la:

[root@server bitrix]# pwd
/home/bitrix
[root@server bitrix]# ls -la
total 72
drwx------ 11 bitrix bitrix 4096 Jul 2 12:30 .
drwxr-xr-x. 3 root root 4096 Aug 30 2022 ..
-rw------- 1 bitrix bitrix 126 Sep 6 2022 .bash_history
-rw-r--r-- 1 bitrix bitrix 18 Nov 24 2021 .bash_logout
-rw-r--r-- 1 bitrix bitrix 193 Nov 24 2021 .bash_profile
-rw-r--r-- 1 bitrix bitrix 231 Nov 24 2021 .bashrc
drwxrwx--- 8 bitrix bitrix 4096 Jun 28 09:00 .bx_temp
drwxrwxr-x 3 bitrix bitrix 4096 Sep 5 2022 .cache
drwxrwxr-x 3 bitrix bitrix 4096 Sep 5 2022 .config
drwxr-xr-x 9 bitrix bitrix 4096 Jul 2 05:19 dehydrated
-rw-r--r-- 1 bitrix bitrix 2546 Jul 2 05:19 dehydrated_update.log
drwxrwxr-x 3 bitrix bitrix 4096 Jun 30 22:20 .dotnet
drwxrwxr-x 8 bitrix bitrix 4096 Jun 28 09:00 ext_www
-rw-rw-r-- 1 bitrix bitrix 72 Jul 1 23:31 .gitconfig
-rwxrwxrwx 1 bitrix bitrix 1673 Jun 30 19:25 .node
drwxr----- 3 bitrix bitrix 4096 Jun 30 19:30 .pki
drwx------ 2 bitrix bitrix 4096 Jul 2 07:26 .ssh
drwxrwxr-x 5 bitrix bitrix 4096 Jun 30 22:20 .vscode-server

В этом списке есть вредоносный файл .node. Иногда такой файл имеет другие названия (например, встречается под названием .websever), но суть у них одна и та же.

В дополнение к этому в crontab пользователя bitrix заносится задача на запуск этой вредоносной программы:

[root@server bitrix]# crontab -l -u bitrix
*/10 * * * * bash ~/.node

Нужно удалить задание и сам файл

[metallizer]

accesser, У меня такая же проблема, BitrixVM7.5.2 на CentOS появился процесс .top отжирающий все CPU, стояли последние версии всех модулей Битрикс 23.300.100 под PHP7.4, техподдержка пока никак не комментирует где именно уязвимость. Были модифицированы некоторые файлы, появился eval, из того что удалось найти через плагин xscan:
urlrewrite.php
/bitrix/header.php
/bitrix/modules/main/admin/define.php
/bitrix/modules/main/include/prolog_before.php

В папке /home/bitrix/.ssh/ появился файл с ключом authorized_keys - ключ удалил, поменял права доступа к файлу на root:root (возможно есть смысл вообще отключить вход по ssh с использованием ключей, т.к. оказалось что вход с ключом не логируется, ну и после входа они явно почистили логи)

Файл /home/bitrix/.nodes - удалил
Запущенный процесс .top - убил

В файле /var/spool/cron/bitrix - удалил запуск .nodes

Где уязвимость пока неизвестно, жду ответа техподдержки Битрикс, но чисто интуитивно кажется они вошли через default сайт (можно войти по айпишнику сервера), при переезде на новый хостинг его просто забыли деактивировать и там была чистая не завершённая установка Битрикс, т.е. они зашли и установили Битрикс, дальше видимо залили свои эксплоиты и получили доступ к папке /home/bitrix/.ssh - закачав туда rsa-ключи, потом уже чрез ssh установили свой скрипт майнинга.

[V N]

metallizer,
нашел с помощью lsof по pid процесса (у вас pid будет естественно другой)
lsof -p 2949
В моем случае криптомайнер лежал в директории
/home/bitrix/.websever
также заблокировал исходящие соединение на адрес 193.29.56.190
также нашел задание на запуск бинарника каждые 10 секунд в каком-то из этих файлов

/etc/cron.d/root  
/var/spool/cron/root  
/var/spool/cron/<user>  
/etc/cron.d/apache  
/var/spool/cron/crontabs/root  
/etc/cron.hourly/oanacroner  
/etc/cron.daily/oanacroner  
/etc/cron.monthly/oanacroner

С начала думал, что где-то доступы запалил, хотя на сервере стоят ограничения на вход с только указанных ip.
Переустановил сервер, как только установил bitrix, это беда опять тут как тут, причем сразу на чистом bitrix, сайт даже не публиковали...

[metallizer]

V N, Получил ответ техподдержки Bitrix, в общем как обычно, ставьте обновления, выполняйте рекомендации, всё было сделано а толку...



Кроме того они рекомендуют переходить на PHP8.0, ибо PHP7.4 сам по себе уязвим.

Answer 1

[Руслан Федосеев]

троян
ищите откуда пришел, отстреливайте, готовьтесь переставлять сервер.
Но не забудьте пофиксить дыры, через которые он пролез.

Comments

[V N]

Откуда видно, что это троян?

[Алексей Черемисин]

V N, команде top в кателоге временных файлов /tmp делать нечего! и это скорее всего троян.

[Валентин]

V N, ну во-первых потому, что настоящий системный top запускался бы из /bin, то бишь у него строка запуска была просто top, а не ./top В общем-то, одного этого уже достаточно - какая-то фигня пытается закосить под системное приложение - это 100% что-то зловредное. Вы б хоть запретили из /tmp запуск!

Answer 2

[Иван Музыка]

Судя по всему майнер, замаскированный под утилиту top

Answer 3

[fStrange]

Майнер судя по нагрузке подсадили.
Скорее всего все та же уязвимость в модуле vote.
Ее по разному эксплуатируют. Чаще всего js на фродсайты вешают, но изредка и майнеры.

Answer 4

[Сергей Зуев]

Для любителей не обновлять движок, использую скрипт:
mainer_killer.sh

#!/bin/bash
#
# mainer_killer.sh
# This script finds and kills the process named ./top and makes it impossible to start
#
let mainerid=$(ps aux | grep ./top | grep bitrix |awk '{print $2}')
kill $mainerid && mkdir  /tmp/xtmp && mkdir /tmp/xtmp/top && chown root:root /tmp/xtmp && chown root:root /tmp/xtmp/top && chmod 750 /tmp/xtmp && chmod 750 /tmp/xtmp/top

Answer 5

[mletov]

А если сайт остановить, то нагрузка упадет или нет?

Если упадет, то, возможно, дыра в версии Битрикса.
Тогда имеет смысл накатить обновление на Битрикс до последней версии и пройтись каким-нибудь антивирем типа айболита. И заодно нагрузку сайта посмотреть, может DDOS какой-нибудь на него идет или просто посетителей много. Может SQL запросы попрофилировать.

Если не упадет, то да, скорее проблема в области системного администрирования, чем веб-программирования.
Здесь спецы по Linux лучше подскажут.

Comments

[Антон Аникин]

да с чего же упадет если процесс уже запущен