질문과 답변
서버 / IT 리눅스 채굴 악성코드 어떻게 제거하나요?
2019.10.24 23:13
안녕하세요.
NAS에 xmrig 라는 프로세스가 CPU 자원을 상시 50% 점유하고 있는데, 프로세스 강제종료를 해도 다시 살아납니다.
구글링 해보니 암호화폐 채굴하는 악성코드로 보입니다.
프로세스 위치를 찾아보면 아래와 같이 출력됩니다.
lrwxrwxrwx 1 100 65533 0 Oct 24 22:08 /proc/5829/exe -> /xmrig/build/xmrig
저 경로가 심볼릭 링크라는 것 까지는 알아냈는데, file이나 readlink 명령어로 찾아봐도 아무것도 안나오네요.
부팅 시 저 프로세스를 실행하고, 죽여도 재시작 시키는 놈을 찾아서 지우면 될 것 같은데, 리눅스 문외한이라 어떻게 해야 할 지 모르겠습니다.
그렇다고 밀어버리기에는 자료가 너무 많아서 백업할 여유도 없습니다 ㅠㅠ
저 악성코드를 찾아서 지우려면 어떻게 해야 할까요?
댓글 [2]
-
DarknessAngel 2019.10.25 08:18
-
딕 2019.10.26 12:16
답변 감사합니다
프로세스 위치 검색해보면 링크가 나오는데, 그 링크의 실제경로가 표시 안되는 이유가 도커 안에 가상으로 돌아가고 있던게 원인이었습니다
나스 앱 마켓에서 받은 도커 커뮤니티 에디션에 문제가 있어서, 도커 삭제해서 해결했습니다
번호 | 제목 | 글쓴이 | 조회 | 등록일 |
---|---|---|---|---|
[공지] | 질문과 답변 게시판 이용간 유의사항 | gooddew | - | - |
100060 | 윈 도 우| 자료실의 Windows 7 Alienware Ultimate 32bit, 64bit에 대... | 소천 | 164970 | 10-01 |
100059 | 윈 도 우| 자료실의 Windows 7 Alienware Ultimate 32bit 받아볼수 없... [2] | 오백원 | 164110 | 10-10 |
100058 | 윈 도 우| 바로가기실행 아이콘의 동작불능 | 가난한사람 | 160513 | 01-31 |
100057 | 윈 도 우| 자료실의 Alienware Windows7의 로고를 원래대로 복원하는 ... [4] | 소천 | 150539 | 10-04 |
100056 | 윈 도 우| Windows 7의 관리 기능을 집약한 숨겨진 GodMode의 존재 [5] | 죠타로 | 123852 | 01-07 |
100055 | 윈 도 우| PE 시작메뉴랑 작업표시줄 숨길 수 없나요? [11] | 배추보쌈 | 107079 | 01-17 |
100054 | 기 타| html&css 중급자 이상자 분께 도움을 요청해봅니다,, [3] | ㄴ초심ㄱ | 102055 | 05-16 |
100053 | 하드웨어| KMS Activator에 대해서 질문있습니다. | 오잉!? | 85422 | 04-20 |
100052 | 윈 도 우| 카리스마조님의 바로가기 말인데요~ [1] | KOOL하게 | 84410 | 01-06 |
100051 | 윈 도 우| 가젯이 CPU 점유율 상승문제에 영향을 주는군요. [22] | BigShit | 83699 | 11-26 |
100050 | 윈 도 우| page fault in nonpaged area [1] | 한강한뺨뷰 | 80321 | 08-24 |
100049 | 윈 도 우| 인터넷 바로가기 관련 궁금한점이 있습니다. [1] | 도라란 | 79935 | 07-06 |
100048 | 윈 도 우| 모든 바로가기를 실행하면 연결프로그램 선택 창이 떠요ㅠㅠ [4] | 네버s2 | 73052 | 09-17 |
100047 | 윈 도 우| 9down.dom 같은 사이트 또 없나요 [3] | 애벌레 | 67508 | 12-10 |
100046 | 하드웨어| 문의)) "kms Server" 삭제 안하고 써도 괜찮나요??? [1] | Chobits0914 | 66872 | 04-29 |
100045 | 윈 도 우| suk님 시간되시면 부탁드립니다. [7] | 초보라서죄 | 64988 | 12-06 |
100044 | 하드웨어| 문의)) KMS인증과 가상바이오스 인증 중 안정적인 것은 어... [2] | Chobits0914 | 64580 | 06-17 |
100043 | 윈 도 우| win7 / vista god mode 활성화 시키기 [7] | 카츠라 | 61014 | 01-06 |
100042 | 윈 도 우| [A.I_7T]SLIC2.1 인증에대해.. [1] | 김간지 | 58995 | 01-23 |
원본을 찾아내서 지워주세요
애초에 /proc에 장치 정보가 아닌 파일이 있으면 안 됩니다