redis 帶入的挖礦病毒 qW3xT.2 wnTKYg 解決方法


最近我的阿里雲ecs 老是收到 雲盾態勢感知系統檢測到異常

 

 

top -c 后發現一個 疑似病毒  /tmp/qW3xT.2 

看到網友們的解決方案 試過之后效果不錯,可以用的

 

     知道wnTKYg是什么鬼之后,我不急着殺死它,先百度了一下它怎么進來的,百度上關於它的帖子特別少,說是鑽了redis的空子進來的,我基本上贊同這個說法,第一步就是對redis進行了配置上的修改:

① 把默認的端口號6379給改了

② 把密碼改的更復雜了

③ 把bind xx.xx.x.x xx.xx.xx.xx改了

       修改redis是防止這熊孩子再進來,第二步就是把已經入駐的木馬殺死,它不僅使用我的服務器,它還登錄我的賬號,所以查看了 /root/.ssh 下的文件,在/root/.ssh/known_hosts中發現了我不認識的IP,絕對有問題,於是干脆把 /root/.ssh 下的文件都刪了,省事了。

       第三步就是要找到所有關於病毒的文件, 執行命令  find / -name wnTKYg*,只有/tmp下有這個文件,刪了,然后就去kill wnTKYg進程,你以為這樣它就可以死了嗎?Never!一分鍾之后它又復活了,我猜測一定有守護進程在喚醒它,於是我再kill  然后top觀察進行變化,終於被我發現了,有一個/tmp/ddg.1007進程很可疑,於是百度這個東東驗證了一下,果然,就是挖礦工的守護進程,用ps -aux|grep ddg 命令把所有ddg進程找出來殺掉,並刪除/tmp目錄下的所有的對應ddg文件,至此,病毒被解決了,異地登錄,安全掃描什么的也被我解決了。

另一種方法

首先關閉挖礦的服務器訪問 iptables -A INPUT -s  xmr.crypto-pool.fr -j DROP

iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP      然后刪除yam 文件   用find / -name yam查找yam 文件     之后 找到wnTKYg 所在目錄 取消掉其權限  並刪除 然后再取消掉 tmp 的權限並刪除  之后 pkill wnTKYg就OK了。

參考/轉載 :https://blog.csdn.net/qq_38872310/article/details/81325115


注意!

本站转载的文章为个人学习借鉴使用,本站对版权不负任何法律责任。如果侵犯了您的隐私权益,请联系我们删除。



 
粤ICP备14056181号  © 2014-2021 ITdaan.com