Я запускаю сервер CI с использованием VMware ESXI 6.7 на локальном оборудовании. На нем три хоста, работающих под управлением Linux, Windows и MacOS. На хосте Linux запущен экземпляр Jenkins. Недавно я заметил, что наши сборки занимают гораздо больше времени, чем обычно. После расследования выяснилось, что на хосте Linux есть процесс с именем kintegrityds, который использует 100% доступных (виртуальных) ядер ЦП. Он работает как пользователь jenkins. Его завершение, похоже, не вызывает никаких негативных последствий, но он возвращается при следующей сборке или иногда, когда сервер простаивает.
Сбой диска? Это произошло внезапно, без каких-либо изменений конфигурации.
решение1
Сегодня утром боролся с этим и вот что нашел через поиск Google:
https://www.anomali.com/blog/rocke-evolves-its-arsenal-with-a-new-malware-family-written-in-golang
Кажется, вы можете провести обратную разработку заражения через описание там. Согласно статье, должен быть cron, который будет возвращать это. chattr -iиспользуется для защиты файлов, которые являются частью заражения, /etc/ld.so.preloadизменяются и т. д. Сообщу, когда успешно очистлю этот мусор.
решение2
Я могу подтвердить ответ @rutgoff. Это вредоносное ПО.
Мы нашли его сегодня в экземпляре jenkins. Он запустил майнер minero со вчерашнего дня (в нашем случае).
К счастью, мы используем jenkins внутри контейнера docker, поэтому мы удалили контейнер и запустили новый.