殺wntkyg病毒分兩步,第一是找到它的**,切斷入口,第二步,找到它的守護程序並殺死,然後再去殺死病毒程序,有的守護程序很隱蔽,喚醒病毒之後,自動消亡,這時候top就看不到了,要留心。
最近專案在做效能測試,發現cpu使用率異常,無人訪問時cpu也一直保持75%,然後在xshell上top了一下,發現wntkyg這個程式cpu佔用率300%,
就是對redis進行了配置上的修改:
① 把預設的埠號6379給改了
② 把密碼改的更複雜了
③ 把bind xx.xx.x.x xx.xx.xx.xx改了
修改redis是防止這熊孩子再進來,第二步就是把已經入駐的木馬殺死,它不僅使用我的伺服器,它還登入我的賬號,所以檢視了/root/.ssh下的檔案,在/root/.ssh/known_hosts中發現了我不認識的ip,絕對有問題,於是乾脆把/root/.ssh 下的檔案都刪了,省事了。
第三步就是要找到所有關於病毒的檔案, 執行命令 find / -name wntkyg*,只有/tmp下有這個檔案,刪了,然後就去kill wntkyg程序,你以為這樣它就可以死了嗎?never!一分鐘之後它又復活了,我猜測一定有守護程序在喚醒它,於是我再kill 然後top觀察進行變化,終於被我發現了,有乙個/tmp/ddg.1007
,用ps -aux|grep ddg 命令把所有ddg程序找出來殺掉,並刪除
/tmp目錄下的所有的對應ddg檔案,至此,病毒被解決了,異地登入,安全掃瞄什麼的也被我解決了。
,記得留意這個資料夾,如果遇到,就把它乾掉。
今天阿里雲伺服器被掛馬wnTKYg挖礦的清理
5 curl fssl sh 5 wget q o sh直接刪除這cron資料夾,ok了 iptables a input s xmr.crypto pool.fr j drop iptables a output d xmr.crypto pool.fr j drop再次ps aux grep w...
阿里雲CentOS7 2清除wnTKYg木馬
最近發現阿里雲cpu占用很高,一直是100 重啟之後降下來了,但過一會又100 先關了redis防止再次中招 systemctl stop redis 6379 接下來如果 root ssh 下有異常檔案或記錄 rm rf root ssh 查詢wntkyg程序目錄 find name wntkyg...
雲主機被挖礦過程解決?
一 記錄j總雲主機被挖礦 1 top命令檢視資源佔用率 2 ps ef grep x 檢視該程序 how to solve?1 crontab l 檢視當前使用者的定時任務 2 crontab e 輸入i,變成insert模式,在內容前加 把內容注釋掉,然後wq儲存退出。挖礦 wget q o sh...