Processo "mule" occupa CPU a più del 100%: che roba è???

Postate qui per tutte le discussioni legate a Linux in generale.

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Per evitare confusione prego inserire in questo forum solo topic che riguardano appunto Gnu/Linux in genere, se l'argomento è specifico alla Slackware usate uno dei forum Slackware o Slackware64.
3) Leggere attentamente le risposte ricevute
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Rispondi
Avatar utente
joe
Iper Master
Iper Master
Messaggi: 3789
Iscritto il: ven 27 apr 2007, 11:21
Slackware: 15.0
Kernel: 5.15.38
Desktop: dwm

Processo "mule" occupa CPU a più del 100%: che roba è???

Messaggio da joe »

Ciao a tutti,
poco fà mi avevo sono tornato al PC che avevo lasciato acceso da ore mentre ero assente.

Ho trovato la CPU totalmente occupata, lo vedo da un plasmoide sul desktop
Verifico con top e salta fuori che ad occupare il processore è un processo chiamato "mule".
Cosa diamine è quella roba?

Verifico con "pgrep":

Codice: Seleziona tutto

# pgrep -wa mule
12226 /tmp/mule
12227 /tmp/mule
12228 /tmp/mule
12229 /tmp/mule
12230 /tmp/mule
12231 /tmp/mule
12232 /tmp/mule

Codice: Seleziona tutto

# ls -l /tmp/mule                     
/bin/ls: impossibile accedere a '/tmp/mule': File o directory non esistente
Qualcuno ha idea di cosa possa averlo fatto partire (come root tra l'altro: da top ho visto che il processo appartiene a root).
Non ho cercato bene in rete, ma non vorrei avere il sistema violato... Strano... ma non si sa mai. :-k
Cosa ne pensate?

Avatar utente
joe
Iper Master
Iper Master
Messaggi: 3789
Iscritto il: ven 27 apr 2007, 11:21
Slackware: 15.0
Kernel: 5.15.38
Desktop: dwm

Re: Processo "mule" occupa CPU a più del 100%: che roba è???

Messaggio da joe »

Cercando "/tmp/mule" con google ho trovato questa pagina:
https://www.reverse.it/sample/a939633b3 ... mentId=300

Sembrerebbe trattarsi di una sorta di malware, in realtà è uno script di shell che fa tante cosette tra cui scaricare in /tmp un eseguibile chiamato appunto "mule" da questo indirizzo: http://ait7ee.win/mule.
Lo lancia e lo cancella, ecco perchè si vede tra i processi ma non c'è più in tmp.
Cosa diamine faccia quell'eseguibile non lo so. Però in qualche modo contatta anche questo indirizzo:
http://xmr.crypto-pool.fr/
Se si apre col browser riporta "solamente" la sua funzione:
mining server online
In effetti lo script "larva" è "taggato" come "coinminer".
Il chè spiegherebbe anche la CPU occupata a livelli spropositati.

Nella cache di google si trova "larva-script3" annoverato come "malicious".
https://webcache.googleusercontent.com/ ... clnk&gl=it

Insomma per farla breve si tratta di un malware.

Adesso mi piacerebbe capire come viene attivato... Cioè cos'altro insediato sul mio sistema lo fa partire... e come rimuoverlo completamente.
Inoltre mi piacerebbe anche capire come ho fatto a mettermi sul sistema quella robaccia.

Voi ne sapete nulla di roba del genere?

EDIT:
Aggiungo che l'eseguibile lanciato, quello chiamato "mule" pare essere anche noto come larva-mule-script4:
https://www.hybrid-analysis.com/sample/ ... mentId=300

Rispondi