#

Question 1

'watchbog' é um stager de criptominerador que configuraxmrigno sistema.

Existe um guia escrito sobre como remover uminstância comumdissoaqui. Isso não significa que o procedimento para remover o seu será exatamente o mesmo, mas o guia certamente será útil.

Parece que seu sistema foi violado. Interromper esse processo não impedirá que ele volte no longo prazo. Sugiro empregar um firewall, verificando soquetes de ouvinte desconhecidos e chaves de autenticação recém-adicionadas que não pertencem.

Answer

'watchbog' é um stager de criptominerador que configuraxmrigno sistema.

Existe um guia escrito sobre como remover uminstância comumdissoaqui. Isso não significa que o procedimento para remover o seu será exatamente o mesmo, mas o guia certamente será útil.

Parece que seu sistema foi violado. Interromper esse processo não impedirá que ele volte no longo prazo. Sugiro empregar um firewall, verificando soquetes de ouvinte desconhecidos e chaves de autenticação recém-adicionadas que não pertencem.

Question 2

Da última vez, meu VPS também teve esse problema. Ao executar, veja usando top ou PS e verifique qual usuário o executa. Depois disso, você pode ver o cron do usuário usando crontab -e ou em /etc/cron.X/user ou em /var/spool/cron e limpá-lo. Se não estiver limpo, descubra novamente onde o arquivo pertence, até onde eu sei, o watchbog que encontrei está usando curl para executar seu processo. Da última vez, desinstalei o curl primeiro e limpei o cron, depois espere um pouco, também não se esqueça de alterar a senha do usuário que foi violada. Quando o watchbog entra no seu sistema, significa que parte da sua senha de usuário foi comprometida e se o seu servidor tiver um servidor ssh público, tente bloquear o usuário com força bruta para fazer login usando fail2ban.

Answer

Da última vez, meu VPS também teve esse problema. Ao executar, veja usando top ou PS e verifique qual usuário o executa. Depois disso, você pode ver o cron do usuário usando crontab -e ou em /etc/cron.X/user ou em /var/spool/cron e limpá-lo. Se não estiver limpo, descubra novamente onde o arquivo pertence, até onde eu sei, o watchbog que encontrei está usando curl para executar seu processo. Da última vez, desinstalei o curl primeiro e limpei o cron, depois espere um pouco, também não se esqueça de alterar a senha do usuário que foi violada. Quando o watchbog entra no seu sistema, significa que parte da sua senha de usuário foi comprometida e se o seu servidor tiver um servidor ssh público, tente bloquear o usuário com força bruta para fazer login usando fail2ban.

Question 3

Aqui está o que fiz para remover o vírus Watchblog: Encontrei o vírus watchbog em uma de minhas máquinas Linux e aqui está o que fiz passo a passo para finalmente conseguir matar o vírus. O vírus está tendo um processo oculto que cria cronjob e consome a CPU. Isso pode ser detectado pelo seguinte comando:

ps -eo pcpu,pid,user,args | sort -k 1 -r | head -10
%CPU   PID USER     COMMAND
198.2%  8128 root     ./watchbog
31.5  8116 root     ./watchbog
31.4  8140 root     ./watchbog

Então o que fazer? Primeiro, verifique o conteúdo do crontab:

crontab -l

#

Assim, se houver algum cronjob não verificado, o vírus estará criando automaticamente o crontab. Podemos remover o crontab usando o seguinte comando:

crontab –r

Então podemos verificar se já está vazio usando o seguinte comando:

ls /var/spool/cron/crontabs

Em seguida, removemos o cron job e encerramos o processo.

crontab -r while true ; do killall watchbog ; done

Vamos ver novamente se funciona.

crontab -l ps -eo pcpu,pid,user,args | sort -k 1 -r | head -10

Não há mais vigia. Então não esqueça de alterar a senha sudo passwd root

Answer

Aqui está o que fiz para remover o vírus Watchblog: Encontrei o vírus watchbog em uma de minhas máquinas Linux e aqui está o que fiz passo a passo para finalmente conseguir matar o vírus. O vírus está tendo um processo oculto que cria cronjob e consome a CPU. Isso pode ser detectado pelo seguinte comando:

ps -eo pcpu,pid,user,args | sort -k 1 -r | head -10
%CPU   PID USER     COMMAND
198.2%  8128 root     ./watchbog
31.5  8116 root     ./watchbog
31.4  8140 root     ./watchbog

Então o que fazer? Primeiro, verifique o conteúdo do crontab:

crontab -l

#

Assim, se houver algum cronjob não verificado, o vírus estará criando automaticamente o crontab. Podemos remover o crontab usando o seguinte comando:

crontab –r

Então podemos verificar se já está vazio usando o seguinte comando:

ls /var/spool/cron/crontabs

Em seguida, removemos o cron job e encerramos o processo.

crontab -r while true ; do killall watchbog ; done

Vamos ver novamente se funciona.

crontab -l ps -eo pcpu,pid,user,args | sort -k 1 -r | head -10

Não há mais vigia. Então não esqueça de alterar a senha sudo passwd root

#

Responder1

Responder2

Responder3

#

informação relacionada