<div dir="ltr"><div><div><div>Hi,<br><br>does anone know what this "j" job does which leads to load average: 12.04 for several weeks on osgeo6?<br></div><div>I noticed it a while ago:<br></div><div><br><span style="font-family:monospace,monospace">  PID USER      PR  NI    VIRT    RES    SHR S  %CPU %MEM     TIME+ COMMAND                                        <br>23401 geotools  30  10 1219628  25240   1988 S  1200  0.0 811738:16 j </span><br><br>Any cryptomining ongoing there? :)<br><br>strace -p 23401<br>Process 23401 attached<br>epoll_wait(3, {}, 1024, 343)            = 0<br>epoll_wait(3, {}, 1024, 478)            = 0<br>epoll_wait(3, {}, 1024, 20)             = 0<br>clock_gettime(CLOCK_REALTIME, {1525815796, 857872753}) = 0<br>clock_gettime(CLOCK_REALTIME, {1525815796, 857898791}) = 0<br>clock_gettime(CLOCK_REALTIME, {1525815796, 857914653}) = 0<br>clock_gettime(CLOCK_REALTIME, {1525815796, 857930257}) = 0<br>clock_gettime(CLOCK_REALTIME, {1525815796, 857946934}) = 0<br>clock_gettime(CLOCK_REALTIME, {1525815796, 857962774}) = 0<br>clock_gettime(CLOCK_REALTIME, {1525815796, 857978770}) = 0<br>clock_gettime(CLOCK_REALTIME, {1525815796, 857994805}) = 0<br>clock_gettime(CLOCK_REALTIME, {1525815796, 858010207}) = 0<br>clock_gettime(CLOCK_REALTIME, {1525815796, 858025653}) = 0<br>clock_gettime(CLOCK_REALTIME, {1525815796, 858041233}) = 0<br>clock_gettime(CLOCK_REALTIME, {1525815796, 858058371}) = 0<br>epoll_wait(3, {}, 1024, 500)            = 0<br>epoll_wait(3, {}, 1024, 477)            = 0<br>epoll_wait(3, {}, 1024, 21)             = 0<br>epoll_wait(3, {}, 1024, 500)            = 0<br>epoll_wait(3, {}, 1024, 404)            = 0<br>clock_gettime(CLOCK_REALTIME, {1525815798, 768184366}) = 0<br>clock_gettime(CLOCK_REALTIME, {1525815798, 768222411}) = 0<br>...<br><br>lsof -p 23401<br>COMMAND   PID     USER   FD   TYPE     DEVICE SIZE/OFF       NODE NAME<br>j       23401 geotools  cwd    DIR      253,0     4096        192 /<br>j       23401 geotools  rtd    DIR      253,0     4096        192 /<br>j       23401 geotools  txt    REG      253,6   786544       7400 /var/tmp/   /j<br>j       23401 geotools  mem    REG      253,0  1738176     895459 /lib/x86_64-linux-gnu/<a href="http://libc-2.19.so">libc-2.19.so</a><br>j       23401 geotools  mem    REG      253,0  1051056     895469 /lib/x86_64-linux-gnu/<a href="http://libm-2.19.so">libm-2.19.so</a><br>j       23401 geotools  mem    REG      253,0    31784     895513 /lib/x86_64-linux-gnu/<a href="http://librt-2.19.so">librt-2.19.so</a><br>j       23401 geotools  mem    REG      253,0   137384     820348 /lib/x86_64-linux-gnu/<a href="http://libpthread-2.19.so">libpthread-2.19.so</a><br>j       23401 geotools  mem    REG      253,0   140928     820349 /lib/x86_64-linux-gnu/<a href="http://ld-2.19.so">ld-2.19.so</a><br>j       23401 geotools    0r   CHR        1,3      0t0       2052 /dev/null<br>j       23401 geotools    1w   CHR        1,3      0t0       2052 /dev/null<br>j       23401 geotools    2w   CHR        1,3      0t0       2052 /dev/null<br>j       23401 geotools    3u  0000       0,11        0      13535 anon_inode<br>j       23401 geotools    4r  FIFO       0,10      0t0 1498595664 pipe<br>j       23401 geotools    5w  FIFO       0,10      0t0 1498595664 pipe<br>j       23401 geotools    6r  FIFO       0,10      0t0 1498606412 pipe<br>j       23401 geotools    7w  FIFO       0,10      0t0 1498606412 pipe<br>j       23401 geotools    8u  0000       0,11        0      13535 anon_inode<br>j       23401 geotools    9r   CHR        1,3      0t0       2052 /dev/null<br>j       23401 geotools   10u  IPv4 1600207795      0t0        TCP osgeo6.osgeo.osuosl.org:40720->89.163.135.118:http (ESTABLISHED)<br><br><br></div>I don't quite know what it tries to do.<br><br></div>It comes from an "invisible" (!) directory:<br><br></div><span style="font-family:monospace,monospace">root@osgeo6:/var/tmp# ls -la /var/tmp/<br>total 198116<br>drwxr-xr-x  2 geotools users        32 Mar 22 14:56       <<----!!<br>drwxrwxrwt  4 root     root         70 May  8 12:03 .<br>drwxr-xr-x 12 root     root        138 Jul 19  2015 ..<br>drwxr-xr-x  9 geotools users      4096 Sep 23  2015 geotools<br>-rw-r--r--  1 geotools users 202861176 Sep 23  2015 geotools.tar.xz<br>-rw-r--r--  1 geotools users       149 Sep 23  2015 README.txt<br><br></span><div><span style="font-family:monospace,monospace">root@osgeo6:/var/tmp# tree<br>.<br>├──    <br>│   ├── config.json<br>│   └── j<br></span><br></div><div><br></div><div>Here the magic happens:<br></div><div><br><span style="font-family:monospace,monospace">root@osgeo6:/var/tmp# cd "   "<br>root@osgeo6:/var/tmp/   # ls -la<br>total 776<br>drwxr-xr-x 2 geotools users     32 Mar 22 14:56 .<br>drwxrwxrwt 4 root     root      70 May  8 12:03 ..<br>-rw-r--r-- 1 geotools users    558 Mar 22 14:56 config.json<br>-rwxr-xr-x 1 geotools users 786544 Mar 18 09:42 j<br><br>Weird??<br><br></span></div><div><span style="font-family:monospace,monospace">More forensic:<br></span></div><div><span style="font-family:monospace,monospace"><br>root@osgeo6:/var/tmp/   # file j<br>j: ELF 64-bit LSB executable, x86-64, version 1 (GNU/Linux), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 2.6.18, BuildID[sha1]=28ed31a04ec9c0f9e35c536cdbb6dfff922e9df3, stripped<br><br><br>root@osgeo6:/var/tmp/   # head -n 10 config.json<br>{<br>    "algo": "cryptonight",<br>    "av": 0,<br>    "background": true,<br>    "colors": true,<br>    "cpu-affinity": null,<br>    "cpu-priority": null,<br>    "donate-level": 0,<br>    "log-file": null,<br>    "max-cpu-usage": 100,<br><br></span><br></div><div>Gotcha!<br><br></div><div>I suggest that we take a series of countermeasures now.<br></div><div><br>Markus<br><br>-- <br><div class="gmail_signature">Markus Neteler, PhD<br><a href="http://www.mundialis.de" target="_blank">http://www.mundialis.de</a> - free data with free software<br><a href="http://grass.osgeo.org" target="_blank">http://grass.osgeo.org</a><br><a href="http://courses.neteler.org/blog" target="_blank">http://courses.neteler.org/blog</a></div><br></div></div>