阿里云服务器报 Liunx异常文件下载、挖矿进程、SSH远程非交互式一句话异常指令执行
1、删除crontab里面的自启动脚本
2、删除authorized_keys 里面密匙
3、删除#/var/spool/cron下的自启动脚本,root和crontabs
4、删除/etc/crontab 里面的自启动脚本
5、进如/tmp目录下,删除wnTKYg、ddg.2020文件并停掉进程,删除Aegis- 开头的文件夹
6、删除#rm -rf /usr/local/aegis/Aegis-\<Guid5A2C30A2−A87D−490A−9281−6765EDAD7CBA\> 文件
阿里云服务器报 Liunx异常文件下载、挖矿进程、SSH远程非交互式一句话异常指令执行,经排查为wnTKYg病毒,具体修复步骤如下:
- 通过#top -c排查CPU占内存很高的进程
- 19146 root 20 0 236236 5200 1024 S 99.7 0.1 9518:01 /tmp/wnTKYg
- 删除#/var/spool/cron下的自启动脚本,root和crontabs
- 通过进程查看到该文件目录为 /tmp下,删除wnTKYg并杀进程,但是4S后还会自启动,经过排查应该还有守护进程,在/tmp 目录下找到ddg.2020文件,删除该文件并停掉ddg.2020进程
- 删除#rm -rf /usr/local/aegis/Aegis-\<Guid5A2C30A2−A87D−490A−9281−6765EDAD7CBA\> 文件
- 重新检查wnTKYg和ddg.2020进程是否存在
-
问题总结
-
这样的病毒是直接远程连接redis,一般redis都是root安装的,连接redis也就掌握了root权限,它可以往你的定时任务里写内容。
- 中这样的病毒大多都是因为redis没有设置密码,存在着很大的安全漏洞,所以大家要设置redis密码,并且更改redis的端口。安装时最好别用root安装。
- 查了些资料看有人说这是在挖币,wnTKYg是门罗币,所以大家要注意服务器的安全,别让自己的资源让别人用来挣钱。
来源:oschina
链接:https://my.oschina.net/u/4415286/blog/4004011