watchdogs感染性挖矿病毒

病毒现象

表现为/tmp临时目录存在watchdogs文件,出现了crontab任务异常、网络异常、系统文件被删除、CPU异常卡顿等情况,严重影响用户业务

病毒处置

  1. 删除恶意动态链接库/usr/local/lib/libioset.so,排查清理/etc/ld.so.preload中是否加载1中的恶意动态链接库
  2. 清理crontab异常项,删除恶意任务(无法修改则先执行4-a)
  3. 使用kill命令终止挖矿进程
  4. 排查清理残留的病毒文件:
    a. chattr -i /usr/sbin/watchdogs /etc/init.d/watchdogs /var/spool/cron/root /etc/cron.d/root
    b. chkconfig watchdogs off
    c. rm -f /usr/sbin/watchdogs /etc/init.d/watchdogs

  5. 相关系统命令可能被病毒删除,建议重新进行安装恢复

  6. 由于文件只读且相关命令被hook,需要安装busybox通过busybox rm命令删除
  7. 部分操作需要重启机器生效

病毒详情

https://mp.weixin.qq.com/s/dwY--BLzcyeXqPUZlhb__Q