版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/u014273681/article/details/78742856
1、由于工作需要,服务器上发现CPU使用率异常,无人访问时CPU也一直保持75%,然后在xShell上top了一下,发现wnTKYg这个程序CPU占用率300%,很明显是病毒进程,下意识的把它kill了,但是一分钟之后又自动重启了,于是百度了一下,发现这个东西叫做挖矿工,简单的说,就是别人用你的服务器去做它自己的事,然后赚钱。
知道wnTKYg是什么鬼之后,我不急着杀死它,先百度了一下它怎么进来的,百度上关于它的帖子特别少,说是钻了redis的空子进来的,我基本上赞同这个说法,第一步就是对redis进行了配置上的修改:
① 把默认的端口号6379给改了
② 把密码改的更复杂了
③ 把bind xx.xx.x.xxx.xx.xx.xx改了
修改redis是防止这熊孩子再进来,
第二步就是把已经入驻的木马杀死,它不仅使用我的服务器,它还登录我的账号,所以查看了
/root/.ssh下的文件,在/root/.ssh/known_hosts中发现了我不认识的IP,绝对有问题,于是干脆把
/root/.ssh下的文件都删了,省事了。
第三步就是要找到所有关于病毒的文件, 执行命令 find / -namewnTKYg*,只有/tmp下有这个文件,删了,然后就去killwnTKYg进程,你以为这样它就可以死了吗?Never!一分钟之后它又复活了,我猜测一定有守护进程在唤醒它,于是我再kill 然后top观察进行变化,终于被我发现了,有一个
/tmp/ddg.1007进程很可疑,于是百度这个东东验证了一下,果然,就是
挖矿工的守护进程,用
ps-aux|grep ddg 命令把所有ddg进程找出来杀掉,并
删除/tmp目录下的所有的对应ddg文件,至此,病毒被解决了,异地登录,安全扫描什么的也被我解决了。
很多哥们也遇到了这个问题,加了我好友,并且描述了他们的一些情况,我会把他们的改进和补充也写在此贴里,有的哥们会有个定时任务下载这些东西,目录
/var/spool/cron,记得留意这个文件夹,如果遇到,就把它干掉。
2
首先关闭挖矿的服务器访问
iptables
-A
INPUT
-s
xmr.crypto-pool.fr
-j
DROP
iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP 然后删除yam 文件 用find / -nameyam查找yam文件 之后 找到wnTKYg 所在目录 取消掉其权限 并删除 然后再取消掉 tmp的权限并删除 之后 pkill wnTKYg就OK了。
iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP 然后删除yam 文件 用find / -nameyam查找yam文件 之后 找到wnTKYg 所在目录 取消掉其权限 并删除 然后再取消掉 tmp的权限并删除 之后 pkill wnTKYg就OK了。
最后解决:目录/var/spool/cron全部删掉,然后取消wnTKYg 所有目录的权限并删除,之后kill掉wnTKYg 和ddg.2020就好了。