本清理工具适用于2019年2月21日爆发的Watchdogs挖矿蠕虫。
-
Watchdogs挖矿蠕虫主要特征如下:
- ps -ef | grep watchdogs # 存在恶意进程watchdogs
- ps -ef | grep ksoftirqds # 存在恶意进程ksoftirqds
- chkconfig | grep watchdogs # 存在恶意启动项watchdogs
- ldd `which ps` | grep libioset.so # ps、rm等命令被so劫持
- crontab -l | grep pastebin # 存在恶意的蠕虫下载计划任务
-
使用clear清理Watchdogs步骤:
- 上传busybox到/bin/目录下。
- 运行clear.sh。
新增针对2019年3月1日Watchdogs进程变种为kthrotlds的挖矿蠕虫的清理脚本clear_kthrotlds.sh
-
kthrotlds挖矿蠕虫变种主要特征如下:
- watchdogs进程变更为kthrotlds
- libioset.so变更为libcset.so
- watchdogs开机启动项名称变更为netdns
-
使用clear_kthrotlds.sh清理kthrotlds步骤:
- 上传busybox到/bin/目录下。
- 运行clear_kthrotlds.sh。
木马变种情况建议联系安全厂商介入(如:https://moresec.cn):
- 详细分析行为,修改脚本,根除木马。
- 较难分析情况,重装系统,检查漏洞,修复漏洞,防止再感染。
By 默安科技(MoreSec)