如何禁用./监视沼泽进程

Question

/手表沼泽正在消耗198%的cpu处理器和52%的mem处理器。太阳能是用户。我试着停止使用太阳能，但没有用。Watchbog仍然在运行，占用了同样多的空间。

Answer 1

“监视沼泽”是一种在系统上设置xmrig的加密矿工存储设备。

有一本关于如何删除这里的通用实例的指南。这并不意味着移除你的程序将完全相同，但指南一定会有所帮助。

听起来你的系统被攻破了。从长远来看，停止这个过程并不能阻止它的回归。我建议使用防火墙，检查未知侦听器套接字，以及新添加的不属于的身份验证密钥。

Answer 2

上次我的VPS也遇到了这个问题。运行时，请查看使用top或PS，并检查运行它的用户。之后，您可以使用crontab -e或on /etc/cron.X/user或on /var/spool/cron看到用户的cron，并将其清除。如果没有清理，请再次查找文件属于哪里，据我所知，我遇到的监视沼泽是使用curl运行它的进程。上一次我先卸载curl并清除cron，然后再等一段时间，也不要忘记更改被破坏的用户密码。当watchbog进入您的系统时，这意味着您的一些用户密码受到了破坏，如果您的服务器有公共ssh服务器，那么请尝试阻止用户使用fail2ban强行登录。

Answer 3

以下是我为删除Watchblog病毒所做的工作:我在我的linux机器中发现了监视沼泽病毒，下面是我一步一步地做的事情，我最终成功地杀死了该病毒。病毒有一个隐藏的进程，创建cronjob并耗尽CPU。以下命令可以检测到这一点：

ps -eo pcpu,pid,user,args | sort -k 1 -r | head -10
%CPU   PID USER     COMMAND
198.2%  8128 root     ./watchbog
31.5  8116 root     ./watchbog
31.4  8140 root     ./watchbog

那该怎么办呢？首先，检查crontab的内容：

crontab -l

因此，如果有任何cronjob未验证，病毒将自动创建crontab。我们可以使用以下命令删除crontab：

crontab –r

然后，我们可以使用以下命令检查它是否已经为空：

ls /var/spool/cron/crontabs

然后，我们删除cron作业，然后终止这个过程。

crontab -r while true ; do killall watchbog ; done

让我们再看看它是否有效。

crontab -l ps -eo pcpu,pid,user,args | sort -k 1 -r | head -10

不再有监视沼泽了。然后，不要忘记更改密码sudo passwd根。