watchdogs感染性挖矿病毒
1、病毒现象
表现为/tmp临时目录存在watchdogs文件,出现了crontab任务异常、网络异常、系统文件被删除、CPU异常卡顿等情况,严重影响用户业务
2、病毒处置
- 删除恶意动态链接库/usr/local/lib/libioset.so,排查清理/etc/ld.so.preload中是否加载1中的恶意动态链接库
- 清理crontab异常项,删除恶意任务(无法修改则先执行4-a)
- 使用kill命令终止挖矿进程
- 排查清理残留的病毒文件:
a. chattr -i /usr/sbin/watchdogs /etc/init.d/watchdogs /var/spool/cron/root /etc/cron.d/root
b. chkconfig watchdogs off
c. rm -f /usr/sbin/watchdogs /etc/init.d/watchdogs - 相关系统命令可能被病毒删除,建议重新进行安装恢复
- 由于文件只读且相关命令被hook,需要安装busybox通过busybox rm命令删除
- 部分操作需要重启机器生效
3、病毒详情
https://mp.weixin.qq.com/s/dwY--BLzcyeXqPUZlhb__Q
