阿里云服务器报 Liunx异常文件下载处理办法

我们两清 提交于 2020-04-27 22:00:35

阿里云服务器报 Liunx异常文件下载、挖矿进程、SSH远程非交互式一句话异常指令执行

1、删除crontab里面的自启动脚本

2、删除authorized_keys 里面密匙

3、删除#/var/spool/cron下的自启动脚本,root和crontabs

4、删除/etc/crontab 里面的自启动脚本

5、进如/tmp目录下,删除wnTKYg、ddg.2020文件并停掉进程,删除Aegis- 开头的文件夹

6、删除#rm -rf /usr/local/aegis/Aegis-\<Guid5A2C30A2−A87D−490A−9281−6765EDAD7CBA\> 文件

 

阿里云服务器报 Liunx异常文件下载、挖矿进程、SSH远程非交互式一句话异常指令执行,经排查为wnTKYg病毒,具体修复步骤如下:
  • 通过#top -c排查CPU占内存很高的进程
  • 19146 root      20   0  236236   5200   1024 S  99.7  0.1   9518:01 /tmp/wnTKYg
  • 删除#/var/spool/cron下的自启动脚本,root和crontabs
  • 通过进程查看到该文件目录为 /tmp下,删除wnTKYg并杀进程,但是4S后还会自启动,经过排查应该还有守护进程,在/tmp 目录下找到ddg.2020文件,删除该文件并停掉ddg.2020进程
  • 删除#rm -rf /usr/local/aegis/Aegis-\<Guid5A2C30A2−A87D−490A−9281−6765EDAD7CBA\>    文件
  • 重新检查wnTKYg和ddg.2020进程是否存在

 

  • 问题总结

  • 这样的病毒是直接远程连接redis,一般redis都是root安装的,连接redis也就掌握了root权限,它可以往你的定时任务里写内容。

  • 中这样的病毒大多都是因为redis没有设置密码,存在着很大的安全漏洞,所以大家要设置redis密码,并且更改redis的端口。安装时最好别用root安装。
  • 查了些资料看有人说这是在挖币,wnTKYg是门罗币,所以大家要注意服务器的安全,别让自己的资源让别人用来挣钱。

 

标签
易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!