「ウォッチボグ」は、暗号通貨マイナーのステージャーで、xmrigシステム上。

削除方法について書かれたガイドがあります共通インスタンスそれのここ削除手順がまったく同じになるわけではありませんが、このガイドは間違いなく役立ちます。

システムが侵害されたようです。このプロセスを停止しても、長期的には再発を防ぐことはできません。ファイアウォールを導入し、不明なリスナー ソケットや、新しく追加された不適切な認証キーをチェックすることをお勧めします。

前回、私の VPS でもこの問題が発生しました。実行時に、top または PS を使用して、どのユーザーが実行したかを確認します。その後、crontab -e を使用するか、/etc/cron.X/user または /var/spool/cron でユーザーの cron を確認して、クリーンアップします。クリーンアップされていない場合は、ファイルが属する場所を再度確認します。私の知る限り、私が遭遇した watchbog は、プロセスを実行するために curl を使用しています。前回、最初に curl をアンインストールして cron をクリーンアップし、しばらく待ちました。また、侵害されたユーザー パスワードを変更することも忘れないでください。watchbog がシステムに侵入すると、ユーザー パスワードの一部が侵害されたことを意味します。サーバーにパブリック SSH サーバーがある場合は、fail2ban を使用してブルート フォース ログインを試みるユーザーをブロックしてください。

Watchblog ウイルスを削除するために私が行ったことは次のとおりです。Linux マシンの 1 つで watchbog ウイルスを発見し、ウイルスを駆除するために私が行った手順は次のとおりです。ウイルスには、cronjob を作成して CPU を使い果たす隠しプロセスがあります。これは次のコマンドで検出できます。

ps -eo pcpu,pid,user,args | sort -k 1 -r | head -10
%CPU   PID USER     COMMAND
198.2%  8128 root     ./watchbog
31.5  8116 root     ./watchbog
31.4  8140 root     ./watchbog

では、どうすればいいでしょうか? まず、crontab の内容を確認します。

crontab -l

#

したがって、検証されていない cronjob がある場合、ウイルスは自動的に crontab を作成します。次のコマンドを使用して crontab を削除できます。

crontab –r

次に、次のコマンドを使用して、すでに空かどうかを確認できます。

ls /var/spool/cron/crontabs

次に、cron ジョブを削除してプロセスを強制終了します。

crontab -r while true ; do killall watchbog ; done

動作するかどうかもう一度確認してみましょう。

crontab -l ps -eo pcpu,pid,user,args | sort -k 1 -r | head -10

ウォッチボグはもうありません。パスワードを変更することを忘れないでください。sudo passwd root