#

Question 1

'watchbog' ist ein Krypto-Miner-Stager, der einrichtetxmrigauf dem System.

Es gibt eine Anleitung zum Entfernen einesgemeinsame InstanzdavonHier. Dies bedeutet nicht, dass die Vorgehensweise zum Entfernen bei Ihnen genau gleich ist, aber die Anleitung wird Ihnen auf jeden Fall eine Hilfe sein.

Es klingt, als wäre Ihr System gehackt worden. Das Stoppen dieses Vorgangs wird ihn auf lange Sicht nicht vor einem erneuten Hacken bewahren. Ich schlage vor, eine Firewall zu verwenden und nach unbekannten Listener-Sockets und neu hinzugefügten Authentifizierungsschlüsseln zu suchen, die nicht dazugehören.

Answer

'watchbog' ist ein Krypto-Miner-Stager, der einrichtetxmrigauf dem System.

Es gibt eine Anleitung zum Entfernen einesgemeinsame InstanzdavonHier. Dies bedeutet nicht, dass die Vorgehensweise zum Entfernen bei Ihnen genau gleich ist, aber die Anleitung wird Ihnen auf jeden Fall eine Hilfe sein.

Es klingt, als wäre Ihr System gehackt worden. Das Stoppen dieses Vorgangs wird ihn auf lange Sicht nicht vor einem erneuten Hacken bewahren. Ich schlage vor, eine Firewall zu verwenden und nach unbekannten Listener-Sockets und neu hinzugefügten Authentifizierungsschlüsseln zu suchen, die nicht dazugehören.

Question 2

Letztes Mal hatte mein VPS auch dieses Problem. Beim Ausführen prüfen Sie mit top oder PS, welcher Benutzer es ausführt. Danach können Sie den Cron des Benutzers entweder mit crontab -e oder in /etc/cron.X/user oder in /var/spool/cron anzeigen und bereinigen. Wenn er nicht bereinigt ist, suchen Sie erneut, wo die Datei hingehört. Soweit mir bekannt ist, verwendet das Watchbog, auf das ich gestoßen bin, curl, um seinen Prozess auszuführen. Letztes Mal habe ich zuerst curl deinstalliert und den Cron bereinigt und dann eine Weile gewartet. Vergessen Sie auch nicht, das kompromittierte Benutzerkennwort zu ändern. Wenn Watchbog in Ihr System eindringt, bedeutet dies, dass einige Ihrer Benutzerkennwörter kompromittiert wurden. Wenn Ihr Server über einen öffentlichen SSH-Server verfügt, versuchen Sie, Benutzer zu blockieren, die sich mit Brute-Force-Methoden mit fail2ban anmelden möchten.

Answer

Letztes Mal hatte mein VPS auch dieses Problem. Beim Ausführen prüfen Sie mit top oder PS, welcher Benutzer es ausführt. Danach können Sie den Cron des Benutzers entweder mit crontab -e oder in /etc/cron.X/user oder in /var/spool/cron anzeigen und bereinigen. Wenn er nicht bereinigt ist, suchen Sie erneut, wo die Datei hingehört. Soweit mir bekannt ist, verwendet das Watchbog, auf das ich gestoßen bin, curl, um seinen Prozess auszuführen. Letztes Mal habe ich zuerst curl deinstalliert und den Cron bereinigt und dann eine Weile gewartet. Vergessen Sie auch nicht, das kompromittierte Benutzerkennwort zu ändern. Wenn Watchbog in Ihr System eindringt, bedeutet dies, dass einige Ihrer Benutzerkennwörter kompromittiert wurden. Wenn Ihr Server über einen öffentlichen SSH-Server verfügt, versuchen Sie, Benutzer zu blockieren, die sich mit Brute-Force-Methoden mit fail2ban anmelden möchten.

Question 3

So habe ich den Watchblog-Virus entfernt: Ich habe den Watchblog-Virus auf einem meiner Linux-Rechner gefunden und so habe ich Schritt für Schritt vorgegangen, um den Virus endlich zu töten. Der Virus hat einen versteckten Prozess, der Cronjobs erstellt und die CPU beansprucht. Dies kann mit dem folgenden Befehl erkannt werden:

ps -eo pcpu,pid,user,args | sort -k 1 -r | head -10
%CPU   PID USER     COMMAND
198.2%  8128 root     ./watchbog
31.5  8116 root     ./watchbog
31.4  8140 root     ./watchbog

Was ist also zu tun? Überprüfen Sie zunächst den Inhalt der Crontab:

crontab -l

#

Wenn also ein Cronjob nicht verifiziert ist, erstellt der Virus automatisch eine Crontab. Wir können die Crontab mit dem folgenden Befehl entfernen:

crontab –r

Anschließend können wir mit dem folgenden Befehl prüfen, ob es bereits leer ist:

ls /var/spool/cron/crontabs

Dann entfernen wir den Cron-Job und beenden den Prozess.

crontab -r while true ; do killall watchbog ; done

Lassen Sie uns noch einmal sehen, ob es funktioniert.

crontab -l ps -eo pcpu,pid,user,args | sort -k 1 -r | head -10

Es gibt kein Watchbog mehr. Vergessen Sie dann nicht, das Passwort sudo passwd root zu ändern

Answer

So habe ich den Watchblog-Virus entfernt: Ich habe den Watchblog-Virus auf einem meiner Linux-Rechner gefunden und so habe ich Schritt für Schritt vorgegangen, um den Virus endlich zu töten. Der Virus hat einen versteckten Prozess, der Cronjobs erstellt und die CPU beansprucht. Dies kann mit dem folgenden Befehl erkannt werden:

ps -eo pcpu,pid,user,args | sort -k 1 -r | head -10
%CPU   PID USER     COMMAND
198.2%  8128 root     ./watchbog
31.5  8116 root     ./watchbog
31.4  8140 root     ./watchbog

Was ist also zu tun? Überprüfen Sie zunächst den Inhalt der Crontab:

crontab -l

#

Wenn also ein Cronjob nicht verifiziert ist, erstellt der Virus automatisch eine Crontab. Wir können die Crontab mit dem folgenden Befehl entfernen:

crontab –r

Anschließend können wir mit dem folgenden Befehl prüfen, ob es bereits leer ist:

ls /var/spool/cron/crontabs

Dann entfernen wir den Cron-Job und beenden den Prozess.

crontab -r while true ; do killall watchbog ; done

Lassen Sie uns noch einmal sehen, ob es funktioniert.

crontab -l ps -eo pcpu,pid,user,args | sort -k 1 -r | head -10

Es gibt kein Watchbog mehr. Vergessen Sie dann nicht, das Passwort sudo passwd root zu ändern

#

Antwort1

Antwort2

Antwort3

#

verwandte Informationen