질문과 답변
서버 / IT 리눅스 채굴 악성코드 어떻게 제거하나요?
2019.10.24 23:13
안녕하세요.
NAS에 xmrig 라는 프로세스가 CPU 자원을 상시 50% 점유하고 있는데, 프로세스 강제종료를 해도 다시 살아납니다.
구글링 해보니 암호화폐 채굴하는 악성코드로 보입니다.
프로세스 위치를 찾아보면 아래와 같이 출력됩니다.
lrwxrwxrwx 1 100 65533 0 Oct 24 22:08 /proc/5829/exe -> /xmrig/build/xmrig
저 경로가 심볼릭 링크라는 것 까지는 알아냈는데, file이나 readlink 명령어로 찾아봐도 아무것도 안나오네요.
부팅 시 저 프로세스를 실행하고, 죽여도 재시작 시키는 놈을 찾아서 지우면 될 것 같은데, 리눅스 문외한이라 어떻게 해야 할 지 모르겠습니다.
그렇다고 밀어버리기에는 자료가 너무 많아서 백업할 여유도 없습니다 ㅠㅠ
저 악성코드를 찾아서 지우려면 어떻게 해야 할까요?
댓글 [2]
-
DarknessAngel 2019.10.25 08:18
-
딕 2019.10.26 12:16
답변 감사합니다
프로세스 위치 검색해보면 링크가 나오는데, 그 링크의 실제경로가 표시 안되는 이유가 도커 안에 가상으로 돌아가고 있던게 원인이었습니다
나스 앱 마켓에서 받은 도커 커뮤니티 에디션에 문제가 있어서, 도커 삭제해서 해결했습니다
번호 | 제목 | 글쓴이 | 조회 | 등록일 |
---|---|---|---|---|
[공지] | 질문과 답변 게시판 이용간 유의사항 | gooddew | - | - |
81392 | 하드웨어| p67샌디브릿지 보드에 17-3770 아이비브릿지 시피유 장착됩... [14] | cosmosa | 525 | 10-26 |
81391 | 기 타| 라디오 플그램 | 홍낄똥 | 343 | 10-26 |
81390 | 소프트웨어| 신문사이트에서 VODA 동영상 다운 하는법 [1] | zeron | 247 | 10-26 |
81389 | 소프트웨어| 쪽지에서 추천하는법 | 허풍선 | 214 | 10-26 |
81388 | 하드웨어| 영화 재생이 잘 안되고 있습니다. [4] | RURUTEAM | 390 | 10-26 |
81387 | 윈 도 우| suk 님의 도움의로 해결한 파일을 다른곳에서 적용해 봣슴... [6] | 후루꾸 | 610 | 10-26 |
81386 | 윈 도 우| 메인보드님이 올려주신 윈도우10 문의해요 [1] | FC바르셀로나우승~하자 | 526 | 10-26 |
81385 | 소프트웨어| Office 365의 이메일 Outlook 365를 백업문제 | 토니 | 251 | 10-26 |
81384 | 윈 도 우| 우클릭 보내기 문의 [2] | 뷰티블마인 | 410 | 10-25 |
81383 | 윈 도 우| 디스플레이 몬제입니다. [9] | 재먼당 | 520 | 10-25 |
81382 | 기 타| 코어파킹 [3] | 원주민 | 772 | 10-25 |
81381 | 윈 도 우| 윈10 쓰다가 윈8.1로 가는건 좋은선택이 아닌가요..? [19] | 부엉이마루 | 1615 | 10-24 |
» | 서버 / IT| 리눅스 채굴 악성코드 어떻게 제거하나요? [2] | 딕 | 699 | 10-24 |
81379 | 하드웨어| USB가 생산시기에 따라서도 Legacy 부팅 안되는 경우가 있... [8] | bloodra | 853 | 10-24 |
81378 | 소프트웨어| snapshot백업시 이건 어떤문제인지 요 [2] | zannabi | 408 | 10-24 |
81377 | 기 타| 중고나라 사이트 주소 찾는법 좀 알려주세요ㅡ.ㅜ [2] | 한걸음 | 547 | 10-24 |
81376 | 기 타| 게시물 열면 IDM 다운로드 창 뜨는 문제. [5] | 박삿갓 | 1193 | 10-24 |
81375 | 윈 도 우| MBR->GPT 변환 관련 질문 [8] | EdeL | 1103 | 10-24 |
81374 | 소프트웨어| 쓸만한 램디스크 프로그램 있을까요. [9] | Ariette | 868 | 10-24 |
81373 | 소프트웨어| 노트북 배터리 관리 프로그램 [4] | 현민지 | 1077 | 10-24 |
원본을 찾아내서 지워주세요
애초에 /proc에 장치 정보가 아닌 파일이 있으면 안 됩니다