Ejecuto un servidor CI usando VMware ESXI 6.7 en hardware local. Tiene tres hosts que ejecutan Linux, Windows y MacOS. El host de Linux ejecuta una instancia de Jenkins. Recientemente he notado que nuestras compilaciones están tardando mucho más de lo habitual. Tras la investigación, parece que en el host Linux hay un proceso llamado kintegrityds, que utiliza el 100% de los núcleos de CPU (virtuales) disponibles. Se ejecuta como usuario jenkins. Matarlo parece no causar efectos nocivos, pero regresa la próxima vez que se produce una compilación o, a veces, cuando el servidor está inactivo.
¿Falla del disco? Esto ocurrió de la nada, sin cambios de configuración.
Respuesta1
Estuve peleando esto esta mañana y encontré esto mediante una búsqueda en Google:
https://www.anomali.com/blog/rocke-evolves-its-arsenal-with-a-new-malware-family-writing-in-golang
Parece que puedes aplicar ingeniería inversa a la infección a través de la descripción que aparece allí. Según el artículo, debería haber un cron que mantenga esto regresando. chattr -ise utiliza para proteger archivos que forman parte de la infección, /etc/ld.so.preloadse modifican, etc. Informaré cuando haya limpiado con éxito esta basura.
Respuesta2
Puedo confirmar la respuesta de @rutgoff. Es un malware.
Lo encontramos hoy en una instancia de jenkins. Ejecutó un minero de ayer (en nuestro caso).
Afortunadamente usamos jenkins dentro de un contenedor acoplable, así que retiramos el contenedor y comenzamos uno nuevo.