今天偶然发现服务器cpu占用率一直是90%,top查看了发现是一个名为wnTKYg的进程。
网上查找说是一个挖矿木马,清理之后做个记录。
尝试pkill -9 wnTKYg杀死进程,发现没过多久又出现了
中毒原因应该是redis没有设密码或者是弱口令,先关了redis防止再次中招
systemctl stop redis
接下来
- 杀死占用内存大的程序
杀进程:
pkill -9 wnTKYg
pkill -9 ddg.1009
- 然后根据查看到的程序路径,进入目录内,将目录里的文件删除
如果/root/.ssh/下有异常文件或记录:rm -rf /root/.ssh/*
查找wnTKYg进程目录:find / -name wnTKYg*
删除wnTKYg进程文件:rm -rf /tmp/wnTKYg
查找wnTKYg守护进程目录:ps -aux|grep ddg
删除wnTKYg守护进程文件,文件后缀可能不同:rm -rf /tmp/ddg.1009
删除可疑文件:
rm -rf /tmp/Aegis-\<Guid5A2C30A2−A87D−490A−9281−6765EDAD7CBA\>
rm -rf /usr/local/aegis/Aegis-\<Guid5A2C30A2−A87D−490A−9281−6765EDAD7CBA\>
删除wnTKYg定时任务:rm -rf /var/spool/cron
检查是否存在残留文件并清理…
- 之后检查开机自动启动或者定时任务里是否有不正常自启动和定时任务
我中的病毒是写在定时任务的一个任务。指向一个网站自动下载一个脚本。
ps x 或 top 查看是否还有木马进程
到此应该已经清理完毕
问题总结
这样的病毒是直接远程连接redis,一般redis都是root安装的,连接redis也就掌握了root权限,它可以往你的定时任务里写内容。
中这样的病毒大多都是因为redis没有设置密码,存在着很大的安全漏洞,所以大家要设置redis密码,并且更改redis的端口。安装时最好别用root安装。