今天早上突然发现自己的服务器特别卡,
服务器用的是腾讯云 系统是 CentOS 6.5 64 位
查看了监控以后发现 cpu 和内存占用明显异常一直 100%
用 top 命令查了一下,发现是 wnTKYG 进程占用了 99.9%
网上查了一下 wnTKYG 说是一个挖矿木马
是挖的门罗币
中毒原因应该是 redis 没有设密码
先关了 redis 防止再次中招
kill -9 xxx
接下来
查找 wnTKYg 进程目录:find / -name wnTKYg
删除 wnTKYg 进程文件:rm -rf /tmp/wnTKYg
查找 wnTKYg 守护进程目录:ps -aux|grep ddg
删除 wnTKYg 守护进程文件,文件后缀可能不同:rm -rf /tmp/ddg.2020
删除可疑文件:
rm -rf /tmp/(里边可疑的文件包括 ssh,我全部干掉了)
检查是否存在残留文件并清理...
目录 var/spool/cron,这个是定时启动的,记得留意这个文件夹,如果遇到,就把它干掉。
杀进程:
pkill -9 wnTKYg
pkill -9 ddg.2020
ps x 或 top 查看是否还有木马进程
到此应该已经清理完毕!
redis 设置新密码
删除异常用户
重启正常运行
参考帖子: http://blog.sina.com.cn/s/blog_c08907b10102wyyl.html
欢迎来到这里!
我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。
注册 关于