#

Question 1

「watchbog」是一個加密礦工 stager，它設置xmrig在系統上。

有一個關於如何刪除的指南常見實例其中這裡。這並不意味著刪除您的程式將完全相同，但該指南肯定會有所幫助。

聽起來你的系統已被破壞。從長遠來看，停止這個過程並不能阻止它再次出現。我建議使用防火牆，檢查未知的偵聽器套接字以及新新增的不屬於的身份驗證金鑰。

Answer

「watchbog」是一個加密礦工 stager，它設置xmrig在系統上。

有一個關於如何刪除的指南常見實例其中這裡。這並不意味著刪除您的程式將完全相同，但該指南肯定會有所幫助。

聽起來你的系統已被破壞。從長遠來看，停止這個過程並不能阻止它再次出現。我建議使用防火牆，檢查未知的偵聽器套接字以及新新增的不屬於的身份驗證金鑰。

Question 2

上次我的VPS也出現這個問題。運行時，請參閱使用 top 或 PS 並檢查運行它的使用者。之後，您可以使用 crontab -e 或在 /etc/cron.X/user 或 /var/spool/cron 上檢視使用者的 cron 並清理它。如果沒有清理，請再次查找該檔案所屬的位置，據我所知，我遇到的watchbog正在使用curl來運行它的進程。上次我先卸載了curl並清理了cron然後等待一段時間，也不要忘記更改被破壞的用戶密碼。當 watchbog 進入您的系統時，這表示您的某些使用者密碼已洩露，如果您的伺服器有公共 ssh 伺服器，請嘗試使用fail2ban 阻止使用者暴力登入。

Answer

上次我的VPS也出現這個問題。運行時，請參閱使用 top 或 PS 並檢查運行它的使用者。之後，您可以使用 crontab -e 或在 /etc/cron.X/user 或 /var/spool/cron 上檢視使用者的 cron 並清理它。如果沒有清理，請再次查找該檔案所屬的位置，據我所知，我遇到的watchbog正在使用curl來運行它的進程。上次我先卸載了curl並清理了cron然後等待一段時間，也不要忘記更改被破壞的用戶密碼。當 watchbog 進入您的系統時，這表示您的某些使用者密碼已洩露，如果您的伺服器有公共 ssh 伺服器，請嘗試使用fail2ban 阻止使用者暴力登入。

Question 3

以下是我刪除 Watchblog 病毒的方法：我在我的一台 Linux 機器中發現了 watchbog 病毒，以下是我一步步執行的操作，最終成功殺死了該病毒。病毒有一個隱藏進程，可以創建 cronjob 並耗盡 CPU。這可以透過以下命令檢測到：

ps -eo pcpu,pid,user,args | sort -k 1 -r | head -10
%CPU   PID USER     COMMAND
198.2%  8128 root     ./watchbog
31.5  8116 root     ./watchbog
31.4  8140 root     ./watchbog

那該怎麼辦？首先，檢查crontab的內容：

crontab -l

#

因此，如果有任何 cronjob 未經驗證，病毒就會自動建立 crontab。我們可以使用以下命令刪除 crontab：

crontab –r

然後我們可以使用以下命令檢查它是否已經為空：

ls /var/spool/cron/crontabs

然後，我們刪除 cron 作業，然後終止該進程。

crontab -r while true ; do killall watchbog ; done

讓我們再看看它是否有效。

crontab -l ps -eo pcpu,pid,user,args | sort -k 1 -r | head -10

不再有監視沼澤了。然後不要忘記更改密碼 sudo passwd root

Answer