Jak wykryć cryptominera na Ubuntu?
Cryptominer to jedno z najczęstszych zagrożeń dla systemów Linux, szczególnie serwerów działających na Linux oraz dystrybucji takich jak Ubuntu.
Atakujący instalują koparki kryptowalut, które:
- wykorzystują CPU lub GPU,
- działają w tle jako ukryte procesy,
- generują zysk dla cyberprzestępcy kosztem Twojego serwera.
Objawy infekcji cryptominerem
1. Nagłe wysokie użycie CPU
Najczęstszy sygnał:
- CPU stale 80–100%,
- nawet gdy serwer nic nie robi,
- brak znanych procesów obciążających system.
2. Wzrost temperatury i zużycia energii
Objawy:
- serwer się przegrzewa,
- wentylatory pracują na maksimum,
- VPS działa wolniej.
3. Spowolnienie systemu
- opóźnienia w SSH,
- długie odpowiedzi aplikacji,
- lagi w usługach web.
4. Nietypowe procesy
Cryptominer często ukrywa się jako:
kworker,systemd-service,- losowe nazwy (np.
x86_64,dbus-service).
5. Wysokie zużycie sieci
Miner:
- komunikuje się z poolami,
- wysyła „shares”,
- utrzymuje stałe połączenie TCP.
Jak sprawdzić cryptominera w Ubuntu?
1. Sprawdź procesy (top / htop)
top
lub:
htop
Szukaj:
- procesów z wysokim CPU,
- dziwnych nazw,
- procesów uruchomionych przez root.
2. Sprawdź procesy ręcznie
ps aux --sort=-%cpu | head -20
3. Sprawdź połączenia sieciowe
ss -tulnp
Szukaj:
- połączeń do dziwnych IP,
- portów 3333, 4444, 14444 (typowe mining poole).
4. Sprawdź cron i persistence
Cryptominery często dodają się do autostartu:
crontab -l
oraz:
ls -la /etc/cron.*
5. Sprawdź systemd
systemctl list-units --type=service
Szukaj:
- dziwnych usług,
- losowych nazw,
- usług uruchamianych z /tmp.
6. Sprawdź procesy ukryte (rootkit)
rkhunter --check
chkrootkit
7. Sprawdź pliki w /tmp i /var/tmp
ls -la /tmp
Cryptominery często uruchamiają się z tych katalogów.
8. Monitor GPU (jeśli dostępny)
nvidia-smi
Jeśli GPU jest stale obciążone → podejrzenie mining.
Najczęstsze metody infekcji cryptominerem
1. SSH brute-force
Boty łamią słabe hasła.
2. Luki w aplikacjach web
- WordPress,
- Nginx,
- PHP exploit.
3. Docker vulnerability
Źle zabezpieczone kontenery.
4. Exploity kernelowe
Stare wersje systemu.
5. Złośliwe skrypty instalacyjne
Np.:
curl malware.sh | bash
Jak usunąć cryptominera?
1. Zabicie procesu
kill -9 PID
2. Usunięcie plików
Znajdź lokalizację procesu:
ls -l /proc/PID/exe
3. Usunięcie persistence
- cron jobs,
- systemd services,
- startup scripts.
4. Restart systemu
Ale tylko po usunięciu backdoorów.
5. Aktualizacja systemu
apt update && apt upgrade
Jak zapobiegać cryptominerom?
1. SSH hardening
- klucze zamiast haseł,
- brak root login,
- Fail2Ban lub CrowdSec.
2. Firewall
- UFW,
- nftables,
- whitelist IP.
3. Regularne aktualizacje
Najważniejsze zabezpieczenie.
4. Minimalizacja usług
Im mniej usług:
✔ mniejsza powierzchnia ataku
5. Monitoring
- Prometheus,
- Grafana,
- system alertów CPU.
6. Kontrola Docker
Nie używaj:
--privileged,- publicznych obrazów bez skanowania.
Podsumowanie
Cryptominer w Ubuntu często działa cicho, ale zostawia wyraźne ślady.
Najważniejsze wnioski:
- stałe 100% CPU to pierwszy sygnał,
- nietypowe procesy i połączenia sieciowe są kluczowe,
- persistence przez cron i systemd jest standardem,
- SSH i słabe hasła to najczęstsza droga infekcji,
- narzędzia typu htop, ss i rkhunter pomagają w diagnostyce.
Konfiguracja usług w Debianie: SSH, Apache, Nginx, Samba Debian to jedna z najstarszych i najbardziej stabilnych dystrybucji systemu Linux, która Czytaj dalej
Konfiguracja karty sieciowej w systemie Linux Server może być wykonana poprzez edycję plików konfiguracyjnych lub za pomocą narzędzi wiersza poleceń. Czytaj dalej
