1、服务器收到cpu报警,cpu被占用达到100%,登录服务器查看,发现cpu被一个watchbog的进程占满了,如下图所示
该进程为被植入的挖矿程序,该程序会在cron下面写入脚本,定期去pastebin.com下载木马开始挖矿,如果删除不彻底仍然会不定期启动这个挖矿程序。
2、下面开始删除这个病毒木马,防火墙配置,禁用这个域名对应ip的出入限制:
1
2
3
| iptables -A INPUT -s 104.20.209.21 -j DROP
iptables -A OUTPUT -s 104.20.209.21 -j DROP
iptables -A OUTPUT -j DROP -d 104.20.209.21
|
保存修改内容
1
| /sbin/service iptables save
|
为安全起见,同时修改本地hosts文件添加,将pastebin.com重定向到本地:
cat /etc/hosts|grep pastebin
3、移除wget、curl脚本里面会使用curl和wget等命令下载病毒(如果确认病毒可以被彻底删除,这不无需操作)
1
2
| mv /usr/bin/curl /usr/bin/lruc
mv /usr/bin/wget /usr/bin/tegw
|
4、杀掉watchbog进程
1
| ps -ef|grep watchbog|awk '{print $2}'|xargs kill -9
|
5、删掉cron里面的相关任务
1
2
3
4
5
6
7
8
| crontab -l
/etc/cron.d
/etc/cron.deny
/etc/cron.monthly
/etc/cron.daily
/etc/cron.hourly
/etc/crontab
/etc/cron.weekly
|
上面所有的文档一定要都仔细检查一边,有相关curl pastebin.com等信息要彻底删除
6、在cron的文件下还发现的其他脚本命令,/bin/httpntp、/bin/ftpsdns等,同时删除watchbog
1
2
3
| rm -rf /usr/bin/watchbog
rm -rf /bin/httpntp
rm -rf /bin/ftpsdns
|
7、如果/tmp目录下存在文件/tmp/timesyncc.service,也要删除