#

Question 1

“watchbog” 是一个加密货币挖矿程序，它设置陣容在系统上。

有一篇指南介绍如何移除普通实例的这里。这并不意味着您的移除程序将完全相同，但该指南肯定会有所帮助。

听起来您的系统已被攻破。从长远来看，停止此过程并不能阻止其再次出现。我建议使用防火墙，检查未知的侦听器套接字以及不属于的新添加的身份验证密钥。

Answer

“watchbog” 是一个加密货币挖矿程序，它设置陣容在系统上。

有一篇指南介绍如何移除普通实例的这里。这并不意味着您的移除程序将完全相同，但该指南肯定会有所帮助。

听起来您的系统已被攻破。从长远来看，停止此过程并不能阻止其再次出现。我建议使用防火墙，检查未知的侦听器套接字以及不属于的新添加的身份验证密钥。

Question 2

上次我的 VPS 也出现过这个问题。运行时，使用 top 或 PS 查看运行它的用户。之后，你可以使用 crontab -e 或在 /etc/cron.X/user 或 /var/spool/cron 上查看用户的 cron 并清理它。如果没有清理，再次查找文件所属的位置，据我所知，我遇到的 watchbog 是使用 curl 来运行它的进程。上次我先卸载 curl 并清理 cron 然后等待一段时间，也不要忘记更改被泄露的用户密码。当 watchbog 进入你的系统时，这意味着你的部分用户密码已被泄露，如果你的服务器有公共 ssh 服务器，那么尝试使用 fail2ban 阻止暴力登录的用户。

Answer

上次我的 VPS 也出现过这个问题。运行时，使用 top 或 PS 查看运行它的用户。之后，你可以使用 crontab -e 或在 /etc/cron.X/user 或 /var/spool/cron 上查看用户的 cron 并清理它。如果没有清理，再次查找文件所属的位置，据我所知，我遇到的 watchbog 是使用 curl 来运行它的进程。上次我先卸载 curl 并清理 cron 然后等待一段时间，也不要忘记更改被泄露的用户密码。当 watchbog 进入你的系统时，这意味着你的部分用户密码已被泄露，如果你的服务器有公共 ssh 服务器，那么尝试使用 fail2ban 阻止暴力登录的用户。

Question 3

以下是我清除 Watchblog 病毒的方法：我在我的一台 Linux 机器中发现了 watchbog 病毒，以下是我一步步操作，最终成功杀死了该病毒。该病毒有一个隐藏的进程，它会创建 cronjob 并占用 CPU。可以通过以下命令检测到：

ps -eo pcpu,pid,user,args | sort -k 1 -r | head -10
%CPU   PID USER     COMMAND
198.2%  8128 root     ./watchbog
31.5  8116 root     ./watchbog
31.4  8140 root     ./watchbog

那么该怎么办呢？首先，检查 crontab 的内容：

crontab -l

#

因此，如果有任何 cronjob 未验证，病毒就会自动创建 crontab。我们可以使用以下命令删除 crontab：

crontab –r

然后我们可以使用以下命令检查它是否已经为空：

ls /var/spool/cron/crontabs

然后，我们删除 cron 作业并终止该进程。

crontab -r while true ; do killall watchbog ; done

让我们再看看它是否有效。

crontab -l ps -eo pcpu,pid,user,args | sort -k 1 -r | head -10

没有了watchbog。然后不要忘记更改密码 sudo passwd root

Answer