參考文檔:https://blog.netlab.360.com/ddg-mining-botnet-jin-qi-huo-dong-fen-xi/ 我現在的情況就是把能刪的都刪了。目前來看沒有再出現。 無人訪問時CPU也一直保持75%,然后在xShell上top了一下,發現wnTKYg這個程序CPU占用率300%, 1.猜測是因為redis的空子 ,redis進行了配置上的修改: ① 把默認的端口號6379給改了 ② 把密碼改的更復雜了 ③ 把bind xx.xx.x.x xx.xx.xx.xx改了 2.查看 /root/.ssh 下的文件,在/root/.ssh/known_hosts中刪除不認識的IP或者把 /root/.ssh 下的文件都刪除 3.執行命令 find / -name wnTKYg*,只有/tmp下有這個文件,刪了 然后就去kill wnTKYg 然后top觀察進行變化, 有一個/tmp/ddg.1007進程 是挖礦工的守護進程,用ps -aux|grep ddg命令把所有ddg進程找出來殺掉,並刪除/tmp目錄下的所有的對應ddg文件 有的會有個定時任務下載這些東西,目錄 /var/spool/cron,記得留意這個文件夾,如果遇到,就把它干掉。 首先關閉挖礦的服務器訪問 iptables -A INPUT -s xmr.crypto-pool.fr -j DROP iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP 然后刪除yam 文件 用find / -name yam查找yam 文件 找到wnTKYg 所在目錄 取消掉其權限 並刪除 然后再取消掉 tmp 的權限並刪除 之后 pkill wnTKYg就OK了。