질문과 답변
서버 / IT 리눅스 채굴 악성코드 어떻게 제거하나요?
2019.10.24 23:13
안녕하세요.
NAS에 xmrig 라는 프로세스가 CPU 자원을 상시 50% 점유하고 있는데, 프로세스 강제종료를 해도 다시 살아납니다.
구글링 해보니 암호화폐 채굴하는 악성코드로 보입니다.
프로세스 위치를 찾아보면 아래와 같이 출력됩니다.
lrwxrwxrwx 1 100 65533 0 Oct 24 22:08 /proc/5829/exe -> /xmrig/build/xmrig
저 경로가 심볼릭 링크라는 것 까지는 알아냈는데, file이나 readlink 명령어로 찾아봐도 아무것도 안나오네요.
부팅 시 저 프로세스를 실행하고, 죽여도 재시작 시키는 놈을 찾아서 지우면 될 것 같은데, 리눅스 문외한이라 어떻게 해야 할 지 모르겠습니다.
그렇다고 밀어버리기에는 자료가 너무 많아서 백업할 여유도 없습니다 ㅠㅠ
저 악성코드를 찾아서 지우려면 어떻게 해야 할까요?
댓글 [2]
-
DarknessAngel 2019.10.25 08:18
-
딕 2019.10.26 12:16
답변 감사합니다
프로세스 위치 검색해보면 링크가 나오는데, 그 링크의 실제경로가 표시 안되는 이유가 도커 안에 가상으로 돌아가고 있던게 원인이었습니다
나스 앱 마켓에서 받은 도커 커뮤니티 에디션에 문제가 있어서, 도커 삭제해서 해결했습니다
번호 | 제목 | 글쓴이 | 조회 | 등록일 |
---|---|---|---|---|
[공지] | 질문과 답변 게시판 이용간 유의사항 | gooddew | - | - |
1097 | 서버 / IT| T전화앱에서 주소록을 옮길 수 있나요? [4] | brucex | 465 | 11-20 |
1096 | 서버 / IT| 랜카드 2개를 사용하여 사무실 네트워크 구성 등 [6] | 켄치 | 778 | 11-02 |
1095 | 서버 / IT| NAS 구축관련 문의 [6] | 늘 지금처 | 591 | 10-28 |
» | 서버 / IT| 리눅스 채굴 악성코드 어떻게 제거하나요? [2] | 딕 | 628 | 10-24 |
1093 | 서버 / IT| 동일네트워크에 300대정도를 연결하고싶습니다 [2] | 니나노랑카 | 473 | 10-08 |
1092 | 서버 / IT| 업로드 할 수 없음. [1] | 박종민 | 249 | 09-30 |
1091 | 서버 / IT| 스마트폰 화면 tv에 전체화면으로 출력?? [2] | ksire | 863 | 09-19 |
1090 | 서버 / IT| 스마트폰 공기계로 티맵 사용법? [6] | ksire | 3504 | 09-14 |
1089 | 서버 / IT| 바이두 속도 좀 빠르게 받을수 있는 방법 없을까요? [6] | 레전드한화 | 400 | 09-08 |
1088 | 서버 / IT| SMTP 서버 관련 질문드려요. [2] | fprrmsl | 217 | 09-05 |
1087 | 서버 / IT| 인타넷 유해사이드 제거 [5] | 마내팔골 | 493 | 09-05 |
1086 | 서버 / IT| 노트10에서 모바일핫스팟이 자꾸 꺼집니다. [2] | brucex | 602 | 09-04 |
1085 | 서버 / IT| onedrive 에서 업로드,다운로드 속도 빠르게 하는 방법이 ... [2] | brucex | 303 | 09-03 |
1084 | 서버 / IT| NAS 관련 문의 [구축 관련] [5] | WB | 646 | 09-01 |
1083 | 서버 / IT| 네트워크에서 공유폴더가 안됩니다. [1] | brucex | 331 | 08-28 |
1082 | 서버 / IT| 휴대폰 본인인증 하는 절차 우회 [2] | charm | 764 | 08-27 |
1081 | 서버 / IT| 서버 가상화 관련 질문 드립니다. [1] | DrM | 205 | 08-26 |
1080 | 서버 / IT| 서버 구축 문의 합니다. [2] | WB | 328 | 08-22 |
1079 | 서버 / IT| 네트워크 드라이브 연결이 가능한지 좀 봐주세요~ [7] | 영심이 | 282 | 08-20 |
1078 | 서버 / IT| xampp를 설치해서 phpmyadmin을 열었는데, 문제가 있습니다. [2] | brucex | 132 | 08-13 |
원본을 찾아내서 지워주세요
애초에 /proc에 장치 정보가 아닌 파일이 있으면 안 됩니다