作为程序员一定要保持良好的睡眠,才能好编程

  2. 首页
  3. Linux

清除wnTKYg的全过程

发布时间:2017-06-07

为了减轻数据库压力,安装了redis,一开始并没有设置redis的密码 ,也没有绑定必须是哪个IP来访问,

就这样一天、两天,知道昨天收到了服务器DDOS攻击其他服务器的情况,这可怎么办,我没有处理过这样的事情啊?

哪儿里出现了问题,为什么对外进行攻击?于是登录了万网的ecs控制平台,查看DDOS攻击,发现连续对外进行发包,导致了CPU的高度工作。

这可能就是原因所在吧,于是登录了服务器,


来  先  netstat 一下  发现有N多个端口 连接上了其他的服务器,一直在通讯,


然后top 了一下,看到服务器的大多CPU资源被一个叫 wnTKYg 的进程占用着,于是这就是病毒的错在了吧。

一定是木马,下意识的把它kill了,但是一分钟之后又自动重启了,于是百度了一下,发现这个东西叫做挖矿工,简单的说,就是别人用你的服务器去做它自己的事,然后赚钱。

那么他是怎么进来的呢?

说是钻了redis的空子进来的,我基本上赞同这个说法,第一步就是对redis进行了配置上的修改:

① 把默认的端口号6379给改了

② 把密码改的更复杂了

③ 把bind xx.xx.x.x xx.xx.xx.xx改了

修改redis是防止这熊孩子再进来,下一步就是把已经入驻的木马杀死,


       知道wnTKYg是什么鬼之后,我不急着杀死它,而是特别好奇它来自何方,怎么进来的,百度上关于它的帖子特别少(这也是我决定写这篇帖子的主要原因),


       第三步就是要找到所有关于病毒的文件, 执行命令  find / -name wnTKYg*,只有/tmp下有这个文件,删了,然后就去kill wnTKYg进程,你以为这样它就可以死了吗?Never!一分钟之后它又复活了,我猜测一定有守护进程在唤醒它,于是我再kill  然后top观察进行变化,

终于被我发现了,有一个/tmp/ddg.1009进程很可疑,

kill -9 进程

于是百度这个东东验证了一下,果然,就是挖矿工的守护进程,于是把它也杀了,至此,病毒被我解决了,异地登录,安全扫描什么的也被我解决了。  很多哥们也遇到了这个问题,加了我好友,并且描述了他们的一些情况,我会把他们的改进和补充也写在此贴里,有的哥们会有个定时任务下载这些东西,目录/var/spool/cron,记得留意这个文件夹,如果遇到,就把它干掉。 crontab -l 查看定时任务   crontab -e 编辑   ,当打开 /var/spool/cron/ 这个目录下 有一个root文件 ,打开,把这里不是自己的代码删掉。

    http://****:8220/test9.sh

    我遇到的是这个病毒,写到这里依然很紧张,万一又中了,怎么办?

       安全问题依然严峻,于是找了一家安全公司--安全狗咨询了下相关的安全业务,发现蛮贵的,都是万开头的

     

    因为发了这篇帖子,一位和我情况差不多的网友也提供了一种解决方案,我把他的也贴进来与大家分享谢谢这位网友:首先关闭挖矿的服务器访问 

 

开启防火墙

chkconfig iptables on

service iptables start

iptables -A INPUT -s  xmr.crypto-pool.fr -j DROP

iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP    

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -p tcp --dport 25 -j ACCEPT

iptables -A OUTPUT -p tcp --sport 25 -j ACCEPT

iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT

service iptables save 

service iptables restart


当然也可以编辑:

vim /etc/sysconfig/iptables


iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -p tcp --dport 25 -j ACCEPT

iptables -A OUTPUT -p tcp --sport 25 -j ACCEPT

iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT


 然后删除yam 文件   用find / -name yam查找yam 文件     

之后 找到wnTKYg 所在目录 取消掉其权限  并删除 然后再取消掉 tmp 的权限并删除  之后 pkill wnTKYg就OK了。

当然,我也咨询了阿里的解决方案,有两个,①找第三方安全公司杀②把数据备份一下,重置系统 。  坑爹的阿里啊。以后大家遇到病毒了,可以一起研究一下,我的QQ 624907290

 如果觉得这篇文章对您起了帮助,记得点赞加评论,让更多人可以看到,问题能够快速的解决。


更多>> Linux