kthrotlds(WatchDogs变种)查杀方法

病毒现象

1. 服务器出现卡顿、CPU飙升

2. 以下为WatchDogs的判断方式及其命令：
   存在恶意进程watchdogs： ps -ef | grep watchdogs
   存在恶意进程ksoftirqds： ps -ef | grep ksoftirqds
   存在恶意启动项watchdogs： chkconfig | grep watchdogs
   ps、rm等命令被so劫持： ldd which ps | grep libioset.so
   恶意的蠕虫下载计划任务： crontab -l | grep pastebin

3. kthrotlds变种后的特征：
   watchdogs进程变更为kthrotlds
   libioset.so变更为libcset.so
   watchdogs开机启动项名称变更为netdns

病毒处置

1. 使用深信服终端EDR进行查杀
2. 或使用专杀工具查杀(下载链接：https://github.com/MoreSecLab/DDG_MalWare_Clean_Tool/archive/master.zip)
   第一步：将压缩包中的busybox放到/bin/目录下；
   第二步：将clear_kthrotlds.sh和clear.sh 放到/temp/目录下
   第三步：切换到/temp目录下，使用root权限运行： chmod +x clear_kthrotlds.sh && clear.sh && ./clear_kthrotlds.sh && ./clear.sh

病毒详情

https://www.anquanke.com/post/id/172111

kthrotlds(WatchDogs变种)查杀方法

原文：https://www.cnblogs.com/yyxianren/p/12378278.html