'watchbog'는 암호화폐 채굴기 스테이저입니다.xmrig시스템에서.

제거하는 방법에 대한 설명서가 있습니다.공통 인스턴스그것의여기. 이는 제거 절차가 정확히 동일하다는 것을 의미하지는 않지만 가이드가 확실히 도움이 될 것입니다.

시스템이 침해된 것 같습니다. 이 프로세스를 중지해도 장기적으로 다시 발생하는 것을 막을 수는 없습니다. 방화벽을 사용하고, 알 수 없는 수신기 소켓을 확인하고, 속하지 않는 새로 추가된 인증 키를 확인하는 것이 좋습니다.

지난번에 내 VPS에서도 이 문제가 발생했습니다. 실행시 top이나 PS를 사용하는 모습을 보고 어떤 사용자가 실행하는지 확인해보세요. 그런 다음 crontab -e 또는 /etc/cron.X/user 또는 /var/spool/cron을 사용하여 사용자의 cron을 보고 정리할 수 있습니다. 정리되지 않은 경우 파일이 속한 위치를 다시 찾으십시오. 내가 아는 한 내가 만난 watchbog는 컬을 사용하여 프로세스를 실행하고 있습니다. 지난번에는 컬을 먼저 제거하고 cron을 정리한 다음 잠시 기다렸다가 위반된 사용자 비밀번호를 변경하는 것을 잊지 마세요. watchbog가 시스템에 들어오면 이는 일부 사용자 비밀번호가 손상되었음을 의미하며 서버에 공개 SSH 서버가 있는 경우 사용자가 무차별 대입으로 로그인하는 것을 차단하려고 시도합니다.

Watchblog 바이러스를 제거하기 위해 수행한 작업은 다음과 같습니다. Linux 시스템 중 하나에서 watchbog 바이러스를 발견했으며 단계별로 수행한 작업을 통해 마침내 바이러스를 제거할 수 있었습니다. 바이러스에는 cronjob을 생성하고 CPU를 소모하는 숨겨진 프로세스가 있습니다. 이는 다음 명령으로 감지할 수 있습니다.

ps -eo pcpu,pid,user,args | sort -k 1 -r | head -10
%CPU   PID USER     COMMAND
198.2%  8128 root     ./watchbog
31.5  8116 root     ./watchbog
31.4  8140 root     ./watchbog

그래서 뭐 할까? 먼저 crontab의 내용을 확인하세요.

crontab -l

#

따라서 확인되지 않은 cronjob이 있으면 바이러스가 자동으로 crontab을 생성합니다. 다음 명령을 사용하여 crontab을 제거할 수 있습니다.

crontab –r

그런 다음 다음 명령을 사용하여 이미 비어 있는지 확인할 수 있습니다.

ls /var/spool/cron/crontabs

그런 다음 cron 작업을 제거하고 프로세스를 종료합니다.

crontab -r while true ; do killall watchbog ; done

작동하는지 다시 확인해 보겠습니다.

crontab -l ps -eo pcpu,pid,user,args | sort -k 1 -r | head -10

더 이상 감시 장치가 없습니다. 그런 다음 비밀번호를 변경하는 것을 잊지 마세요 sudo passwd root