最近我的阿里雲ecs 老是收到 雲盾態勢感知系統檢測到異常
top -c 后發現一個 疑似病毒 /tmp/qW3xT.2
看到網友們的解決方案 試過之后效果不錯,可以用的
知道wnTKYg是什么鬼之后,我不急着殺死它,先百度了一下它怎么進來的,百度上關於它的帖子特別少,說是鑽了redis的空子進來的,我基本上贊同這個說法,第一步就是對redis進行了配置上的修改:
① 把默認的端口號6379給改了
② 把密碼改的更復雜了
③ 把bind xx.xx.x.x xx.xx.xx.xx改了
修改redis是防止這熊孩子再進來,第二步就是把已經入駐的木馬殺死,它不僅使用我的服務器,它還登錄我的賬號,所以查看了 /root/.ssh 下的文件,在/root/.ssh/known_hosts中發現了我不認識的IP,絕對有問題,於是干脆把 /root/.ssh 下的文件都刪了,省事了。
第三步就是要找到所有關於病毒的文件, 執行命令 find / -name wnTKYg*,只有/tmp下有這個文件,刪了,然后就去kill wnTKYg進程,你以為這樣它就可以死了嗎?Never!一分鍾之后它又復活了,我猜測一定有守護進程在喚醒它,於是我再kill 然后top觀察進行變化,終於被我發現了,有一個/tmp/ddg.1007進程很可疑,於是百度這個東東驗證了一下,果然,就是挖礦工的守護進程,用ps -aux|grep ddg 命令把所有ddg進程找出來殺掉,並刪除/tmp目錄下的所有的對應ddg文件,至此,病毒被解決了,異地登錄,安全掃描什么的也被我解決了。
另一種方法
首先關閉挖礦的服務器訪問 iptables -A INPUT -s xmr.crypto-pool.fr -j DROP
iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP 然后刪除yam 文件 用find / -name yam查找yam 文件 之后 找到wnTKYg 所在目錄 取消掉其權限 並刪除 然后再取消掉 tmp 的權限並刪除 之后 pkill wnTKYg就OK了。
參考/轉載 :https://blog.csdn.net/qq_38872310/article/details/81325115
如果本文章已幫助到您!
