#

Question 1

«watchbog» — это криптомайнер-сценарий, который устанавливаетxmrigв системе.

Существует руководство, написанное о том, как удалитьобщий случайиз этогоздесь. Это не значит, что процедура удаления у вас будет точно такой же, но руководство определенно будет вам полезно.

Похоже, что ваша система была взломана. Остановка этого процесса не убережет ее от повторного появления в долгосрочной перспективе. Я предлагаю использовать брандмауэр, проверять неизвестные сокеты слушателей и недавно добавленные ключи аутентификации, которые не относятся к делу.

Answer

«watchbog» — это криптомайнер-сценарий, который устанавливаетxmrigв системе.

Существует руководство, написанное о том, как удалитьобщий случайиз этогоздесь. Это не значит, что процедура удаления у вас будет точно такой же, но руководство определенно будет вам полезно.

Похоже, что ваша система была взломана. Остановка этого процесса не убережет ее от повторного появления в долгосрочной перспективе. Я предлагаю использовать брандмауэр, проверять неизвестные сокеты слушателей и недавно добавленные ключи аутентификации, которые не относятся к делу.

Question 2

В прошлый раз у моего VPS тоже была эта проблема. При запуске посмотрите, как использовать top или PS и проверьте, какой пользователь его запускает. После этого вы можете посмотреть cron пользователя, используя crontab -e или в /etc/cron.X/user или в /var/spool/cron и очистить его. Если он не очищен, снова найдите, где находится файл, насколько мне известно, watchbog, с которым я столкнулся, использует curl для запуска своего процесса. В прошлый раз я сначала удалил curl и очистил cron, затем подождал некоторое время, также не забудьте изменить пароль пользователя, который был взломан. Когда watchbog попадает в вашу систему, это означает, что некоторые из ваших паролей пользователей скомпрометированы, и если на вашем сервере есть публичный сервер ssh, то попробуйте заблокировать пользователя, который пытается войти в систему методом подбора, с помощью fail2ban.

Answer

В прошлый раз у моего VPS тоже была эта проблема. При запуске посмотрите, как использовать top или PS и проверьте, какой пользователь его запускает. После этого вы можете посмотреть cron пользователя, используя crontab -e или в /etc/cron.X/user или в /var/spool/cron и очистить его. Если он не очищен, снова найдите, где находится файл, насколько мне известно, watchbog, с которым я столкнулся, использует curl для запуска своего процесса. В прошлый раз я сначала удалил curl и очистил cron, затем подождал некоторое время, также не забудьте изменить пароль пользователя, который был взломан. Когда watchbog попадает в вашу систему, это означает, что некоторые из ваших паролей пользователей скомпрометированы, и если на вашем сервере есть публичный сервер ssh, то попробуйте заблокировать пользователя, который пытается войти в систему методом подбора, с помощью fail2ban.

Question 3

Вот что я сделал, чтобы удалить вирус Watchblog: Я обнаружил вирус watchbog на одной из моих машин Linux, и вот что я сделал шаг за шагом, чтобы наконец убить вирус. У вируса есть скрытый процесс, который создает cronjob и использует процессор. Это можно обнаружить с помощью следующей команды:

ps -eo pcpu,pid,user,args | sort -k 1 -r | head -10
%CPU   PID USER     COMMAND
198.2%  8128 root     ./watchbog
31.5  8116 root     ./watchbog
31.4  8140 root     ./watchbog

Так что же делать? Сначала проверьте содержимое crontab:

crontab -l

#

Таким образом, если есть какие-либо cronjob unverify, вирус автоматически создает crontab. Мы можем удалить crontab с помощью следующей команды:

crontab –r

Затем мы можем проверить, пуст ли он, с помощью следующей команды:

ls /var/spool/cron/crontabs

Затем мы удаляем задание cron и завершаем процесс.

crontab -r while true ; do killall watchbog ; done

Давайте еще раз посмотрим, сработает ли это.

crontab -l ps -eo pcpu,pid,user,args | sort -k 1 -r | head -10

Больше нет watchbog. Тогда не забудьте сменить пароль sudo passwd root

Answer

Вот что я сделал, чтобы удалить вирус Watchblog: Я обнаружил вирус watchbog на одной из моих машин Linux, и вот что я сделал шаг за шагом, чтобы наконец убить вирус. У вируса есть скрытый процесс, который создает cronjob и использует процессор. Это можно обнаружить с помощью следующей команды:

ps -eo pcpu,pid,user,args | sort -k 1 -r | head -10
%CPU   PID USER     COMMAND
198.2%  8128 root     ./watchbog
31.5  8116 root     ./watchbog
31.4  8140 root     ./watchbog

Так что же делать? Сначала проверьте содержимое crontab:

crontab -l

#

Таким образом, если есть какие-либо cronjob unverify, вирус автоматически создает crontab. Мы можем удалить crontab с помощью следующей команды:

crontab –r

Затем мы можем проверить, пуст ли он, с помощью следующей команды:

ls /var/spool/cron/crontabs

Затем мы удаляем задание cron и завершаем процесс.

crontab -r while true ; do killall watchbog ; done

Давайте еще раз посмотрим, сработает ли это.

crontab -l ps -eo pcpu,pid,user,args | sort -k 1 -r | head -10

Больше нет watchbog. Тогда не забудьте сменить пароль sudo passwd root

#

решение1

решение2

решение3

#

Связанный контент