挖矿木马潜伏在服务器上,可能每一个木马名称都不一样,但是大致基本一样。
由于我之前处理时候并没有保留图片,所以此文章依据别的文章所做整理。
杀wnTKYg病毒分两步,第一是找到它的来源,切断入口,第二步,找到它的守护进程并杀死,然后再去杀死病毒进程,有的守护进程很隐蔽,唤醒病毒之后,自动消亡,这时候top就看不到了,要留心。
类似于这样,cpu达到百分之百了,这样的进程杀都杀不掉
很明显是病毒进程,下意识的把它kill了,但是一分钟之后又自动重启了,于是百度了一下,发现这个东西叫做挖矿工,简单的说,就是别人用你的服务器去做它自己的事,然后赚钱。
第一步就是对redis进行了配置上的修改:
第二步就是把已经入驻的木马杀死,它不仅使用我的服务器,它还登录我的账号,所以查看了 /root/.ssh下的文件,在/root/.ssh/known_hosts中发现了我不认识的IP,绝对有问题,于是干脆把 /root/.ssh下的文件都删了,省事了。
第三步就是要找到所有关于病毒的文件, 执行命令 find / -namewnTKYg*,只有/tmp下有这个文件,删了,然后就去killwnTKYg进程,你以为这样它就可以死了吗?Never!一分钟之后它又复活了,我猜测一定有守护进程在唤醒它,于是我再kill 然后top观察进行变化,终于被我发现了,有一个/tmp/ddg.1007进程很可疑,于是百度这个东东验证了一下,果然,就是挖矿工的守护进程,用ps-aux|grep ddg 命令把所有ddg进程找出来杀掉,并删除/tmp目录下的所有的对应ddg文件,至此,病毒被解决了,异地登录,安全扫描什么的也被我解决了。
(还有crontab -e)看看是否有可疑的定时任务,把这个也清理掉
网友也提供了一种解决方案,我把他的也贴进来与大家分享谢谢这位网友:
首先关闭挖矿的服务器访问
iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP
原博文地址:http://blog.sina.com.cn/pastlifezhangchilde