阿里云服务器报 Liunx异常文件下载处理办法

Posted killall007

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了阿里云服务器报 Liunx异常文件下载处理办法相关的知识,希望对你有一定的参考价值。

阿里云服务器报 Liunx异常文件下载、挖矿进程、SSH远程非交互式一句话异常指令执行

1、删除crontab里面的自启动脚本

2、删除authorized_keys 里面密匙

3、删除#/var/spool/cron下的自启动脚本,root和crontabs

4、删除/etc/crontab 里面的自启动脚本

5、进如/tmp目录下,删除wnTKYg、ddg.2020文件并停掉进程,删除Aegis- 开头的文件夹

6、删除#rm -rf /usr/local/aegis/Aegis-\<Guid5A2C30A2−A87D−490A−9281−6765EDAD7CBA\> 文件

 

阿里云服务器报 Liunx异常文件下载、挖矿进程、SSH远程非交互式一句话异常指令执行,经排查为wnTKYg病毒,具体修复步骤如下:
  • 通过#top -c排查CPU占内存很高的进程
  • 19146 root      20   0  236236   5200   1024 S  99.7  0.1   9518:01 /tmp/wnTKYg
  • 删除#/var/spool/cron下的自启动脚本,root和crontabs
  • 通过进程查看到该文件目录为 /tmp下,删除wnTKYg并杀进程,但是4S后还会自启动,经过排查应该还有守护进程,在/tmp 目录下找到ddg.2020文件,删除该文件并停掉ddg.2020进程
  • 删除#rm -rf /usr/local/aegis/Aegis-\<Guid5A2C30A2−A87D−490A−9281−6765EDAD7CBA\>    文件
  • 重新检查wnTKYg和ddg.2020进程是否存在

 

  • 问题总结

  • 这样的病毒是直接远程连接redis,一般redis都是root安装的,连接redis也就掌握了root权限,它可以往你的定时任务里写内容。

  • 中这样的病毒大多都是因为redis没有设置密码,存在着很大的安全漏洞,所以大家要设置redis密码,并且更改redis的端口。安装时最好别用root安装。
  • 查了些资料看有人说这是在挖币,wnTKYg是门罗币,所以大家要注意服务器的安全,别让自己的资源让别人用来挣钱。

 

以上是关于阿里云服务器报 Liunx异常文件下载处理办法的主要内容,如果未能解决你的问题,请参考以下文章

docker之阿里云centos 7.x 启动容器报错处理办法

阿里云异常网络连接-可疑WebShell通信行为的分析解决办法

阿里云异常网络连接-可疑WebShell通信行为的分析解决办法

阿里云windows 2008 服务器处理挖矿程序 Miner

阿里云服务器安全组配置-有关访问实例异常的解决办法

阿里云 Redis 服务遇到的问题