#

Question 1

'watchbog' es un escenario de criptominero que configuraxmrigen el sistema.

Hay una guía escrita sobre cómo eliminar uninstancia comúnde elloaquí. Esto no significa que el procedimiento para eliminar el tuyo sea exactamente el mismo, pero la guía definitivamente te será de ayuda.

Parece que su sistema ha sido vulnerado. Detener este proceso no impedirá que vuelva a ocurrir en el largo plazo. Sugiero emplear un firewall, verificar si hay sockets de escucha desconocidos y claves de autenticación recién agregadas que no pertenecen.

Answer

'watchbog' es un escenario de criptominero que configuraxmrigen el sistema.

Hay una guía escrita sobre cómo eliminar uninstancia comúnde elloaquí. Esto no significa que el procedimiento para eliminar el tuyo sea exactamente el mismo, pero la guía definitivamente te será de ayuda.

Parece que su sistema ha sido vulnerado. Detener este proceso no impedirá que vuelva a ocurrir en el largo plazo. Sugiero emplear un firewall, verificar si hay sockets de escucha desconocidos y claves de autenticación recién agregadas que no pertenecen.

Question 2

La última vez mi VPS también tuvo este problema. Cuando se ejecute, vea el uso de top o PS y verifique qué usuario lo ejecuta. Después de eso, puede ver el cron del usuario usando crontab -e o en /etc/cron.X/user o en /var/spool/cron y limpiarlo. Si no se limpia, busque nuevamente dónde pertenece el archivo; hasta donde yo sé, el reloj que encontré usa curl para ejecutar su proceso. La última vez, desinstalé curl primero y limpio el cron, luego espero un momento y no olvide cambiar la contraseña de usuario violada. Cuando watchbog ingresa a su sistema, significa que parte de su contraseña de usuario está comprometida y si su servidor tiene un servidor ssh público, intente bloquear al usuario por la fuerza bruta para iniciar sesión usando fail2ban.

Answer

La última vez mi VPS también tuvo este problema. Cuando se ejecute, vea el uso de top o PS y verifique qué usuario lo ejecuta. Después de eso, puede ver el cron del usuario usando crontab -e o en /etc/cron.X/user o en /var/spool/cron y limpiarlo. Si no se limpia, busque nuevamente dónde pertenece el archivo; hasta donde yo sé, el reloj que encontré usa curl para ejecutar su proceso. La última vez, desinstalé curl primero y limpio el cron, luego espero un momento y no olvide cambiar la contraseña de usuario violada. Cuando watchbog ingresa a su sistema, significa que parte de su contraseña de usuario está comprometida y si su servidor tiene un servidor ssh público, intente bloquear al usuario por la fuerza bruta para iniciar sesión usando fail2ban.

Question 3

Esto es lo que hice para eliminar el virus Watchblog: encontré el virus watchbog en una de mis máquinas Linux y esto es lo que hice paso a paso para finalmente lograr matar el virus. El virus tiene un proceso oculto que crea cronjob y consume la CPU. Esto se puede detectar con el siguiente comando:

ps -eo pcpu,pid,user,args | sort -k 1 -r | head -10
%CPU   PID USER     COMMAND
198.2%  8128 root     ./watchbog
31.5  8116 root     ./watchbog
31.4  8140 root     ./watchbog

¿Entonces lo que hay que hacer? Primero, verifique el contenido del crontab:

crontab -l

#

Por lo tanto, si hay algún cronjob sin verificar, el virus crea automáticamente crontab. Podemos eliminar el crontab usando el siguiente comando:

crontab –r

Luego podemos verificar si ya está vacío usando el siguiente comando:

ls /var/spool/cron/crontabs

Luego, eliminamos el trabajo cron y luego finalizamos el proceso.

crontab -r while true ; do killall watchbog ; done

Veamos de nuevo si funciona.

crontab -l ps -eo pcpu,pid,user,args | sort -k 1 -r | head -10

Ya no hay vigilancia. Entonces no olvides cambiar la contraseña sudo passwd root

Answer

Esto es lo que hice para eliminar el virus Watchblog: encontré el virus watchbog en una de mis máquinas Linux y esto es lo que hice paso a paso para finalmente lograr matar el virus. El virus tiene un proceso oculto que crea cronjob y consume la CPU. Esto se puede detectar con el siguiente comando:

ps -eo pcpu,pid,user,args | sort -k 1 -r | head -10
%CPU   PID USER     COMMAND
198.2%  8128 root     ./watchbog
31.5  8116 root     ./watchbog
31.4  8140 root     ./watchbog

¿Entonces lo que hay que hacer? Primero, verifique el contenido del crontab:

crontab -l

#

Por lo tanto, si hay algún cronjob sin verificar, el virus crea automáticamente crontab. Podemos eliminar el crontab usando el siguiente comando:

crontab –r

Luego podemos verificar si ya está vacío usando el siguiente comando:

ls /var/spool/cron/crontabs

Luego, eliminamos el trabajo cron y luego finalizamos el proceso.

crontab -r while true ; do killall watchbog ; done

Veamos de nuevo si funciona.

crontab -l ps -eo pcpu,pid,user,args | sort -k 1 -r | head -10

Ya no hay vigilancia. Entonces no olvides cambiar la contraseña sudo passwd root

#

Respuesta1

Respuesta2

Respuesta3

#

información relacionada