wnTKYg 挖矿工木马 解决过程
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了wnTKYg 挖矿工木马 解决过程相关的知识,希望对你有一定的参考价值。
前一阵部门开发人员说测试服务器反应太慢,我上服务器top一下发现有个程序cpu占到了百分之300,没有多想以为是开发运行的转码程序,直接kill掉,没在管理,前天又收到服务器反应慢的报告,上去top一下又有个程序占了300的cpu,感觉很疑惑,这个程序跟之前的程序不一样,没有直接kill掉,跟开发人员核对后发现不是他们部署的测试程序,心想,干了! 出事了,
---------------------------------------------------------------------------
首先kill掉了进程 持续观察系统状态,1分钟过后进程又再次出现。看了一下服务器上的程序,nginx mysql php MediaWiki jira tomcat mongodb redis
随后百度查了一下wnTKYg 这个程序发现是个挖矿的程序,看了下登陆日志发现不存在暴力破解的情况,那么肯定是通过漏洞进来的,之后看了下计划任务 发现了一个每隔5分钟从另外的服务器上下载脚本的程序,果断删除,kill掉进程,过了一会这个进程又出来了,肯定有守护进程,又top了一下仔细查看了所有进程,发现了ddg.2003 ddg.2004 pmzasa 这三可疑进程,ll /proc/pid 后发现了执行的路径,均在/tmp 底下,删除文件,kill掉进程。观察了一会,貌似是没问题了
比较好奇他是怎么进来的,查看访问日志发现并没有可疑的地方,说明不是从web进来的,网上查找了mediawiki 资料发现有个漏洞上传的BUG,向经理申请临时停掉,迁移到其他机器,升级到最新版本,jira一起迁移走,php停掉,剩下的只有mongodb 和redis,正当我查找的时候,进程又出现了,
这就蛋疼了,查看了一下发现之前删的守护进程也出现了,肯定是留有和后门或者从漏洞再次进来的,向经理反馈,准备迁移项目从新做系统,因为开发在测试只能第二天在迁移,上Google查找了大量文章,发现外国的一个哥们说是通过readis漏洞进来的
我们的redis没在用 所以直接关掉,又自仔细查找了一番,发现开机启动文件中有个下载脚本的程序,删掉。查找可疑用户和组发现没有可疑情况,在/root/.ssh/known_hosts 发现了一个可疑IP,删掉。
在 /var/spool/cron 底下发现了定时下载的计划任务,删掉。/tmp/底下的所有文件删掉。kill 掉进程,更改密码。至此, 世界从此清净了。。。。 因为已经被入侵而且拿到了root权限,系统已经完全不可信,还是要从新做系统。
----------------------------------------
怎么样提高服务器安全性能,以下是小弟愚见,大神勿喷
修改端口号,秘钥登录,随机生成的复杂密码,停掉不必要服务,删除无用账户和组,将用户改成/nolgin,取消telnet,启用hosts.allow和hosts.deny 修改/tmp 的分区属性 使其目录下的任何文件不能执行,修改history路径以及记录下登录的ip,用户,shell命令,详细的操作时间,最重要的,做好备份。
本文出自 “紙炮團” 博客,请务必保留此出处http://qiaivheise.blog.51cto.com/7743217/1953336
以上是关于wnTKYg 挖矿工木马 解决过程的主要内容,如果未能解决你的问题,请参考以下文章
记录清除wnTKYg挖矿工木马(守护进程ddg.xxxx)的过程