清除wnTKYg 这个挖矿工木马的过程讲述

Posted 命甴己造

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了清除wnTKYg 这个挖矿工木马的过程讲述相关的知识,希望对你有一定的参考价值。

由于工作需要,我由一个专业java开发工程师,渐渐的也成为了不专业的资深的运维工程师了。感慨一番,书归正传,下面就讲解wnTKYg如何清除。最近项目在做性能测试,发现CPU使用率异常,无人访问时CPU也一直保持75%,然后在xShell上top了一下,发现wnTKYg这个程序CPU占用率300%,
技术分享

直觉告诉我,一定是木马,下意识的把它kill了,但是一分钟之后又自动重启了,于是百度了一下,发现这个东西叫做挖矿工,简单的说,就是别人用你的服务器去做它自己的事,然后赚钱。

       知道wnTKYg是什么鬼之后,我不急着杀死它,而是特别好奇它来自何方,怎么进来的,百度上关于它的帖子特别少(这也是我决定写这篇帖子的主要原因),说是钻了redis的空子进来的,我基本上赞同这个说法,第一步就是对redis进行了配置上的修改:
① 把默认的端口号6379给改了
② 把密码改的更复杂了
③ 把bind xx.xx.x.x xx.xx.xx.xx改了
       修改redis是防止这熊孩子再进来,下一步就是把已经入驻的木马杀死,它不仅使用我的服务器,它还登录我的账号,所以查看了 /root/.ssh 下的文件,在/root/.ssh/known_hosts中发现了我不认识的IP,绝对有问题,于是干脆把 /root/.ssh 下的文件都删了,省事了。
       第三步就是要找到所有关于病毒的文件, 执行命令  find / -name wnTKYg*,只有/tmp下有这个文件,删了,然后就去kill wnTKYg进程,你以为这样它就可以死了吗?Never!一分钟之后它又复活了,我猜测一定有守护进程在唤醒它,于是我再kill  然后top观察进行变化,终于被我发现了,有一个/tmp/ddg.1007进程很可疑,于是百度这个东东验证了一下,果然,就是挖矿工的守护进程,于是把它也杀了,至此,病毒被我解决了,异地登录,安全扫描什么的也被我解决了。
       因为在360安全论坛里留下了我的QQ,很多哥们也遇到了这个问题,加了我好友,并且描述了他们的一些情况,我会把他们的改进和补充也写在此贴里,有的哥们会有个定时任务下载这些东西,目录/var/spool/cron,记得留意这个文件夹,如果遇到,就把它干掉。
       安全问题依然严峻,于是找了一家安全公司--安全狗咨询了下相关的安全业务,发现蛮贵的,都是万开头的,而且我也不知道他们水平怎么样,于是把我遇到的问题跟业务员说了,看看他们怎么解决,怎么收费,谈判了一下午,定价3500,没的再低了,哎,还是我好,又为公司省了3500。
     
    因为发了这篇帖子,一位和我情况差不多的网友也提供了一种解决方案,我把他的也贴进来与大家分享谢谢这位网友:首先关闭挖矿的服务器访问 iptables -A INPUT -s  xmr.crypto-pool.fr -j DROP
iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP      然后删除yam 文件   用find / -name yam查找yam 文件     之后 找到wnTKYg 所在目录 取消掉其权限  并删除 然后再取消掉 tmp 的权限并删除  之后 pkill wnTKYg就OK了。
当然,我也咨询了阿里的解决方案,有两个,①找第三方安全公司杀②把数据备份一下,重置系统 。  坑爹的阿里啊。以后大家遇到病毒了,可以一起研究一下,我的QQ 624907290
 如果觉得这篇文章对您起了帮助,记得点赞加评论,让更多人可以看到,问题能够快速的解决




以上是关于清除wnTKYg 这个挖矿工木马的过程讲述的主要内容,如果未能解决你的问题,请参考以下文章

记录清除wnTKYg挖矿工木马(守护进程ddg.xxxx)的过程

wnTKYg 挖矿工木马 解决过程

月入百万的“黄金矿工”,知道创宇“通关”SaltStack挖矿木马

IPFS的挖矿原理

手机挖矿(BTCETHFIL)需要下载什么软件?

NBS开启全民挖矿时代 社区矿工数量再创新高