病毒现象
服务器出现卡顿、CPU飙升
以下为WatchDogs的判断方式及其命令:
存在恶意进程watchdogs: ps -ef | grep watchdogs
存在恶意进程ksoftirqds: ps -ef | grep ksoftirqds
存在恶意启动项watchdogs: chkconfig | grep watchdogs
ps、rm等命令被so劫持: lddwhich ps| grep libioset.so
恶意的蠕虫下载计划任务: crontab -l | grep pastebinkthrotlds变种后的特征:
watchdogs进程变更为kthrotlds
libioset.so变更为libcset.so
watchdogs开机启动项名称变更为netdns
病毒处置
- 使用深信服终端EDR进行查杀
- 或使用专杀工具查杀(下载链接:https://github.com/MoreSecLab/DDG_MalWare_Clean_Tool/archive/master.zip)
第一步:将压缩包中的busybox放到/bin/目录下;
第二步:将clear_kthrotlds.sh和clear.sh 放到/temp/目录下
第三步:切换到/temp目录下,使用root权限运行: chmod +x clear_kthrotlds.sh && clear.sh && ./clear_kthrotlds.sh && ./clear.sh