Eu executo um servidor CI usando VMware ESXI 6.7 em hardware local. Possui três hosts, rodando Linux, Windows e MacOS. O host Linux executa uma instância do Jenkins. Recentemente notei que nossas compilações estão demorando muito mais que o normal. Após investigação, parece que no host Linux existe um processo chamado kintegrityds, que está usando 100% dos núcleos de CPU (virtuais) disponíveis. Ele está sendo executado como usuário jenkins. Matá-lo parece não causar efeitos nocivos, mas ele retorna na próxima vez que ocorrer uma compilação ou, às vezes, quando o servidor estiver ocioso.
Falha no disco? Isso ocorreu do nada, sem alterações de configuração.
Responder1
Estive lutando contra isso esta manhã e encontrei isso através de uma pesquisa no Google:
https://www.anomali.com/blog/rocke-evolves-its-arsenal-with-a-new-malware-family-writing-in-golang
Parece que você pode fazer engenharia reversa da infecção por meio da descrição lá. De acordo com o artigo, deveria haver um cron fazendo com que isso voltasse. chattr -ié usado para proteger arquivos que fazem parte da infecção, /etc/ld.so.preloadé modificado, etc. Apresentarei um relatório quando eu limpar esta lixeira com sucesso.
Responder2
Posso confirmar a resposta do @rutgoff. É um malware.
Nós o encontramos hoje em uma instância do Jenkins. Ele executou um minerador de ontem (no nosso caso).
Felizmente, usamos jenkins dentro de um contêiner docker, então removemos o contêiner e iniciamos um novo.