wnTKYg 挖矿工木马 解决过程

Posted 2020-10-01

前一阵部门开发人员说测试服务器反应太慢，我上服务器top一下发现有个程序cpu占到了百分之300，没有多想以为是开发运行的转码程序，直接kill掉，没在管理，前天又收到服务器反应慢的报告，上去top一下又有个程序占了300的cpu，感觉很疑惑，这个程序跟之前的程序不一样，没有直接kill掉，跟开发人员核对后发现不是他们部署的测试程序，心想，干了！ 出事了，

---------------------------------------------------------------------------

首先kill掉了进程 持续观察系统状态，1分钟过后进程又再次出现。看了一下服务器上的程序，nginx  mysql  php  MediaWiki   jira   tomcat     mongodb  redis 

随后百度查了一下wnTKYg 这个程序发现是个挖矿的程序，看了下登陆日志发现不存在暴力破解的情况，那么肯定是通过漏洞进来的，之后看了下计划任务 发现了一个每隔5分钟从另外的服务器上下载脚本的程序，果断删除，kill掉进程，过了一会这个进程又出来了，肯定有守护进程，又top了一下仔细查看了所有进程，发现了ddg.2003   ddg.2004  pmzasa 这三可疑进程，ll /proc/pid  后发现了执行的路径，均在/tmp 底下，删除文件，kill掉进程。观察了一会，貌似是没问题了

 

比较好奇他是怎么进来的，查看访问日志发现并没有可疑的地方，说明不是从web进来的，网上查找了mediawiki 资料发现有个漏洞上传的BUG，向经理申请临时停掉，迁移到其他机器，升级到最新版本，jira一起迁移走，php停掉，剩下的只有mongodb 和redis，正当我查找的时候，进程又出现了，

这就蛋疼了，查看了一下发现之前删的守护进程也出现了，肯定是留有和后门或者从漏洞再次进来的，向经理反馈，准备迁移项目从新做系统，因为开发在测试只能第二天在迁移，上Google查找了大量文章，发现外国的一个哥们说是通过readis漏洞进来的

我们的redis没在用 所以直接关掉，又自仔细查找了一番，发现开机启动文件中有个下载脚本的程序，删掉。查找可疑用户和组发现没有可疑情况，在/root/.ssh/known_hosts  发现了一个可疑IP，删掉。

在 /var/spool/cron 底下发现了定时下载的计划任务，删掉。/tmp/底下的所有文件删掉。kill 掉进程，更改密码。至此， 世界从此清净了。。。。 因为已经被入侵而且拿到了root权限，系统已经完全不可信，还是要从新做系统。

----------------------------------------

怎么样提高服务器安全性能，以下是小弟愚见，大神勿喷

修改端口号，秘钥登录，随机生成的复杂密码，停掉不必要服务，删除无用账户和组，将用户改成/nolgin，取消telnet，启用hosts.allow和hosts.deny   修改/tmp 的分区属性 使其目录下的任何文件不能执行，修改history路径以及记录下登录的ip，用户，shell命令，详细的操作时间，最重要的，做好备份。

本文出自 “紙炮團” 博客，请务必保留此出处http://qiaivheise.blog.51cto.com/7743217/1953336