watchbog病毒解决方案

admin
2019-02-26 22:57

watchbog病毒解决方案-云服务器挖矿病毒

背景:阿里云服务器和腾讯服务器这段时间的CUP使用率一直是90%-100%,其中有个叫watchbog的进程基本占用了全部的CPU资源。

watchbog这是个挖矿病毒,
1.确认病毒:

TOP显示CPU占用高,但是没有高占用的进程
Snipaste_2018-09-11_15-57-16.png

存在与未知服务器13531端口建立的TCP连接
Snipaste_2018-09-11_15-57-41.png

文件/etc/ld.so.preload中指向了/usr/local/lib/libntp.so
Snipaste_2018-09-11_15-58-17.png

存在可疑执行base64编码的python进程

crontab -l 

查看是否有未知的自动任务!

2 快速清除

ps aux|grep "watchbog"|grep -v grep|awk '{print $2}'|xargs kill -9

echo "" > /etc/cron.d/root
echo "" > /etc/cron.d/system
echo "" > /var/spool/cron/root
echo "" > /var/spool/cron/crontabs/root
rm -rf /etc/cron.hourly/oanacron
rm -rf /etc/cron.daily/oanacron
rm -rf /etc/cron.monthly/oanacron

rm -rf /bin/httpdns
sed -i '$d' /etc/crontab

sed -i '$d' /etc/ld.so.preload
rm -rf /usr/local/lib/libntp.so

ps aux|grep "watchbog"|grep -v grep|awk '{print $2}'|xargs kill -9
rm -rf /tmp/.tmph
rm -rf /bin/kworkerds
rm -rf /tmp/kworkerds
rm -rf /usr/sbin/kworkerds
rm -rf /etc/init.d/kworker
chkconfig --del kworker

 

 3 清除完大概5,6分钟病毒又回来了。。

这TMD很恐怖了,

我使用的方法是在阿里云和腾讯云设置端口访问限制,病毒使用的应该是6379端口(阿里客服小哥哥告诉我的==),总之限制住所有未使用的端口就可以了;然后执行步骤2.

 4 完事!

相关评论