转自:http://blog.csdn.net/zimou5581/article/details/73064878
今天偶然发现服务器cpu占用率一直是100%,top查看了发现是一个名为wnTKYg的进程。
网上查找说是一个挖矿木马,清理之后做个记录。
木马如下图:
尝试pkill -9 wnTKYg杀死进程,发现没过多久又出现了
感觉好恶心,中毒原因应该是redis没有设密码或者是弱口令,先关了redis防止再次中招
systemctl stop redis
接下来
如果/root/.ssh/下有异常文件或记录:rm -rf /root/.ssh/*
查找wnTKYg进程目录:find / -name wnTKYg*
删除wnTKYg进程文件:rm -rf /tmp/wnTKYg
查找wnTKYg守护进程目录:ps -aux|grep ddg
删除wnTKYg守护进程文件,文件后缀可能不同:rm -rf /tmp/ddg.1009
删除可疑文件:
rm -rf /tmp/Aegis-\<Guid5A2C30A2−A87D−490A−9281−6765EDAD7CBA\>
rm -rf /usr/local/aegis/Aegis-\<Guid5A2C30A2−A87D−490A−9281−6765EDAD7CBA\>
删除wnTKYg定时任务:rm -rf /var/spool/cron
检查是否存在残留文件并清理...
杀进程:
pkill -9 wnTKYg
pkill -9 ddg.1009
ps x 或 top 查看是否还有木马进程
到此应该已经清理完毕
转自:http://blog.csdn.net/zimou5581/article/details/73064878
今天偶然发现服务器cpu占用率一直是100%,top查看了发现是一个名为wnTKYg的进程。
网上查找说是一个挖矿木马,清理之后做个记录。
木马如下图:
尝试pkill -9 wnTKYg杀死进程,发现没过多久又出现了
感觉好恶心,中毒原因应该是redis没有设密码或者是弱口令,先关了redis防止再次中招
systemctl stop redis
接下来
如果/root/.ssh/下有异常文件或记录:rm -rf /root/.ssh/*
查找wnTKYg进程目录:find / -name wnTKYg*
删除wnTKYg进程文件:rm -rf /tmp/wnTKYg
查找wnTKYg守护进程目录:ps -aux|grep ddg
删除wnTKYg守护进程文件,文件后缀可能不同:rm -rf /tmp/ddg.1009
删除可疑文件:
rm -rf /tmp/Aegis-\<Guid5A2C30A2−A87D−490A−9281−6765EDAD7CBA\>
rm -rf /usr/local/aegis/Aegis-\<Guid5A2C30A2−A87D−490A−9281−6765EDAD7CBA\>
删除wnTKYg定时任务:rm -rf /var/spool/cron
检查是否存在残留文件并清理...
杀进程:
pkill -9 wnTKYg
pkill -9 ddg.1009
ps x 或 top 查看是否还有木马进程
到此应该已经清理完毕