watchbog 和其他挖矿病毒的通用删除思路

最新推荐文章于 2020-04-22 17:09:36 发布
最新推荐文章于 2020-04-22 17:09:36 发布
阅读量216 收藏
点赞数
分类专栏: Linux
原文链接:https://blog.csdn.net/qq_18630487/article/details/87978302
版权

https://blog.csdn.net/qq_35718530/article/details/89518772

服务器前前后后中过两次毒,都是挖矿病毒第一次是因为redis的漏洞,第二次是因为jenkins的漏洞。top 可以看到病毒程序占用大量CPU。处理思路都大同小异。

1,关掉病毒远程服务器访问权限

iptables -A INPUT -s pastebin.com -j DROP
iptables -A OUTPUT -d pastebin.com -j DROP

crontab -l 查看所有定时任务在病毒创建的定时任务中可以看到服务器网址

2,find / -name watchbog 搜索病毒所在文件夹

3,chmod -x watchbog 移除文件执行权限

4,kill 掉病毒进程

  1. service stop crond 或者 crontab -r 删除所有的执行计划

  2. 执行top,查看了一会,没有再发现minerd 进程了

删除步骤可以写成脚本方便执行。

参考博客

https://www.cnblogs.com/uglyliu/p/6442427.html

病毒分析文章

https://www.freebuf.com/articles/system/196515.html

https://my.oschina.net/shyloveliyi/blog/3013081

转载自:https://blog.csdn.net/qq_18630487/article/details/87978302

小漆同学
关注
专栏目录
排查挖矿病毒
gender123的博客
03-28 4635
场景 最新发现linux服务器一直很卡,导致无法编译和其它相关操作。 排查分析 经top 查看原来是一个叫269 的进程一直抢占CPU,占比高达4000%。而该269 进程则是挖矿病毒进行高度伪装,即使是kill 掉该进程也无济于事,后面又会自动跑起来。 top - 19:29:19 up 1:24, 2 users, load average: 41.71, 41.75, 41.46 Tasks: 891 total, 3 running, 502 sleeping, 0 st..
confluence挖矿病毒(kdevtmpfsi 、solrd)解决
lin351550660的专栏
01-12 3597
自己安装了conference,没用1周。发现服务器内存被吃完了。 定位问题: 1、之前就听说过confluence 有漏洞 攻击者会利用confluence编辑页面的某个参数进行写入攻击。所以直接在百度搜索:confluence挖矿病毒 2、感谢https://www.cnblogs.com/hack404/p/11464890.html作者的帮助。 处理过程: 1. 先封掉外网HTTP 端口 使用腾讯云控制台 安全组 设置80端口不允许访问。 2. 查杀进程 使用命令:top 查..
A卡签名补丁atikmdag-patcher 1.4.6.7z
09-04
A卡超频以后,安装完驱动以后出现感叹号,这位大神亲自魔改了签名驱动,每张卡就正常完美运行,实现完美工作。
atikmdag-patcher1.4.12 ATI显卡补丁解决A卡安装驱动后显示叹号
05-02
Requirements: Windows Vista or later 5000-series GPU or newer CrossFire: R9 280/280X and older cards require two CrossFire bridges if the pixel clock is greater than 300 MHz. This is only possible with cards that have two connectors. It will not work properly with more than two cards. Dual-GPU cards such as the 7990 will not work properly at higher pixel clocks. Compatibility: Version 1.4.12 is compatible with Catalyst 11.9 to Adrenalin 22.4.1. It can be used with future versions if it finds the
atikmdag-patcher-1.4.9.zip
01-25
atikmdag-patcher-1.4.9
A卡驱动签名atikmdag-patcher-1.4.10 解决AMD显卡驱动感叹号
10-18
最新版本 A卡驱动签名 AMD驱动补丁 atikmdag-patcher-1.4.10 解决AMD显卡驱动感叹号 解决AMD显卡错误代码43 非原BIOS补丁
如何更有效的消灭watchdogs挖矿病毒?华为云DCS Redis为您支招
middleware2018的博客
02-27 1175
漏洞概述 近日,互联网出现watchdogs挖矿病毒,攻击者可以利用Redis未授权访问漏洞入侵服务器,通过内外网扫描感染更多机器。被感染的主机出现 crontab 任务异常、系统文件被删除、CPU 异常等情况,并且会自动感染更多机器,严重影响业务正常运行甚至导致崩溃。 在此,小哥建议您及时开展Redis业务自查并进行升级修复,避免业务和经济损失。   漏洞影响 1、数据泄露。Redis...
kdevtmpfsi挖矿病毒解决过程
weixin_43233341的博客
03-03 2936
top 开始cpu消耗在百分80左右,有时会达到99,杀掉进程后几分钟又跳出来, 开始的升级阿里云的高级版,一键查杀,cpu瞬间降到20 继续跟踪。。。 大概两个小时后发现,kdevtmpfsi进程会时不时跳出来,一两秒钟后又自动关闭,此时cpu 再百分20到百分40直接上下波动,如图(正常情况下是稳得) 解决方法 kdevtmpfsi有守护进程。守护进程名称为 kinsing,需要kill后才...
archive-patcher,从code.google.com/p/archive-patcher自动导出.zip
09-25
版权所有2016谷歌公司。保留所有权利。
ips-patcher:基于 GTK 的 ips 修补程序
07-14
--: ips-patcher :-- Vincent 'MooZ' Cruz - 2014 年 11 月 11 日(该死的 7 年......) 邮件:cruz.vincent AT gmail DOT com 有关许可证,请参阅 LICENSE 文件。 从源头构建 makefile 构建 2 个二进制文件。 ips-patcher-cli 命令行 IPS 修补程序。 ips-patcher GTK3 IPS 修补程序。 它们可以在发布或调试模式下编译。 要在发布模式下编译,只需键入: 制作 对于调试模式: 使调试=1 二进制文件将位于构建/发布或构建/调试中,具体取决于所选模式。 命令行 命令行 IPS 修补程序的用法是: ips-patcher-cli 源补丁目标 源文件名 patch IPS 补丁文件名 目标文件名
XFX574尔必达80W超低功耗.rom
06-12
低功耗的474BIOS,实测也就75W左右 适合挂机 目前币价上来了 有需要的试试
Watchdog机制以及问题分析
热门推荐
Happy learning
05-19 2万+
目录 1. 概览2. Watchdog机制 2.1 Watchdog的初始化2.2 添加Watchdog监测对象2.3 Watchdog的监测机制 3. 问题分析方法 3.1 日志获取3.2 问题定位3.3 场景还原 4. 实例分析5. 总结 请尊重原创版权,转载注明出处。 1. 概览 Watchdog的中文的“看门狗”,有保护的意思。最早引入Watchdo
WatchDog工作原理
omnispace的博客
05-19 2713
一、概述 Android系统中,有硬件WatchDog用于定时检测关键硬件是否正常工作,类似地,在framework层有一个软件WatchDog用于定期检测关键系统服务是否发生死锁事件。WatchDog功能主要是分析系统核心服务和重要线程是否处于Blocked状态。 监视reboot广播;监视mMonitors关键系统服务是否死锁。 二、WatchDog初始化 2.1 st
记一次 watchbog 挖矿病毒的清理
02-25 200
突然发现服务器上的mysql数据库连接不上遂使用xshell连接服务器查看进程发现被一个叫watchbog的进程沾满了cpu 通过查阅资料发现该病毒通过定时器 不断下载挖矿程序脚本 先清除crontab中不属于自己的内容 kill掉所有的watchbog进程 bo...
Linux 软件看门狗 watchdog
whatday的专栏
06-27 1万+
Linux 自带了一个 watchdog 的实现,用于监视系统的运行,包括一个内核 watchdog module 和一个用户空间的 watchdog 程序。内核 watchdog 模块通过 /dev/watchdog 这个字符设备与用户空间通信。用户空间程序一旦打开 /dev/watchdog 设备(俗称“开门放狗”),就会导致在内核中启动一个1分钟的定时器(系统默认时间),此后,用户空间程
MYSQL存储过程示例循环更新重复电话号码。截取前N位补自增数
qq_18630487的博客
04-22 281
写一个存储过程循环更新 修改重复号码的最后四位为自增数字 length()长度函数 lPAD(i,4,'0') 左侧补0 分组查重复数据ID最大一条修改 BEGIN declare i int default 0; while i < 9999 do UPDATE contacts set te...
safety watchdog和cpu watchdog区别
最新发布
07-21
安全监视器(safety watchdog)和CPU监视器(CPU watchdog)是两种不同的监视机制,用于监控和保护系统的正常运行。 首先,安全监视器主要用于工业领域或关键系统中,以确保系统的安全性和可靠性。它通常由硬件和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值