ld-linux-x86-64 lastet CPU komplett aus

[Tranceport]

Hallo zusammen,
ich habe seit einiger Zeit unter Ubuntu Server 16.04LTS ein Problem mit einem Prozess"ld-linux-x86-64" der regelmäßig alle 4 Kerne meiner CPU auslastet bis ich ihn dann kille. Gefühlt habe ich am System nichts geändert, nur einen cronjob in einem docker-container hinzugefügt (regelmäßiges Update für meinen ArkServer).
Bisher habe ich ein paar mal frisch durchgestartet, inkl upgrade und dist-upgrade. Den Container für Ark habe ich ebenfalls beendet, der Prozess ist unbeeindruckt weiter gelaufen.

Ich bin jetzt nicht übertrieben bewandert, was linux betrifft, und habe online leider keine Lösung gefunden um zu verstehen, was sich genau hinter dem Prozess verbirgt.
Kann mir jemand von euch freundlicherweise weiterhelfen?
Vielen Dank & Grüße,
Chris

System:
Dell T20
Xeon 1225v3
16GB RAM
64GB SSD (OS)
ein Haufen Platten für die Daten

 

[Brrr]

Was für eine PID (Prozess-ID) hat der Task?
Dann schau mal welche Files dieser Prozess geoöffnet hat, vielleicht findest du dann mehr raus, welches Tool genau dafür verantwortlich ist.
Du kannst das mit lsof -p PID nachsehen.

 

[Tranceport]

Super Idee, das probiere ich gleich mal aus, wenn es wieder auftritt =) Vielen Dank!

Ergänzung (29. März 2018)

Omg, der verweist auf eine sumokoin.hasvault.pro Wallet. Ich muss mal chrome schließen, ob das über ein Werbebanner reingeladen wurde...

unter /home/guest/.ttp/a scheint das skript zu liegen, scheint mir unwahrscheinlich, als wäre das von einem Werbebanner nachgeladen worden. Was denkt ihr?

 

[wayne_757]

Cryptominer

 

[Tranceport]

jo, das war mir dann schon klar ;-) Die Frage ist nur, ob ich mir den über eine Webseite eingefangen habe oder ob ich jetzt alle Zugänge am Server ändern muss =/

Habe den Prozess mal wieder gekillt und den versteckten Ordner komplett gelöscht. Bis jetzt ist alles ruhig...

 

[Piktogramm]

1. Wieso gibt es "Guest" auf einem Server?
2. Wieso gibt es "Chrome" auf einem Server
3. Unter welchem Nutzer lief der Spaß?

Wie dein System unterwandert wurde ist ansonsten Spekulation. Dazu müsste klar sein welcher Nutzer in die entsprechende Nutzer schreiben darf, wie das Ding mit welchen rechten Gestartet wird, ... .

 

[Tranceport]

1. Guest gibt es für meine Sambafreigaben
2. habe mir LXDE draufgeworfen, um ab und an darüber googlen zu können
3. guest

 

[Piktogramm]

Edit: Hier Stand vorher Mist

Wenn es als Guest gestartet wurde, dann vermute ich, dass das Login vom Samba auch via SSH möglich war, oder aber in der .bashrc ein passender Aufruf steht

 

[Tranceport]

Für´s erste lege ich mir jetzt einen etwas weniger verbreiteten Nutzer für den Samba-Login ohne User an, der dann auch kein /home bekommt. Der Samba-Gast hat kein Passwort, der Linux-guest allerdings schon.
Die Samba-Ports sind aber nur im LAN offen, nach außen hin bewusst nicht. Hatte aber letztens für einen zickigen Spieleserver UPNP im Router aktiviert, das fliegt nachher auch direkt.

Ergänzung (29. März 2018)

so, guest ist Geschichte, das Skript wurde über einen cronjob für den User guest gestartet. Habe außerdem alle Ports inkl. SSH außer die für die Gameserver geschlossen. Das mache ich dann in Zukunft besser über VPN.

 

[mensch183]

Für´s erste lege ich mir jetzt einen etwas weniger verbreiteten Nutzer für den Samba-Login ohne User an, der dann auch kein /home bekommt.

Mit einem Account ohne existierendes Home kann man sich trotzdem einloggen. Die Shell (letztes Feld in /etc/passwd) auf keine richtige setzen, ist eventuell was du haben willst?

 

[Tranceport]

Guter Einwand, vielen Dank =)