wnTKYg病毒分两步,第一是找到它的来源,切断入口,第二步,找到它的守护进程并杀死,然后再去杀死病毒进程,有的守护进程很隐蔽,唤醒病毒之后,自动消亡,这时候top就看不到了,要留心。

由于工作需要,我由一个专业java开发工程师,渐渐的也成为了不专业的资深的运维工程师了。最近项目在做性能测试,发现CPU使用率异常,无人访问时CPU也一直保持75%,然后在xShell上top了一下,发现wnTKYg这个程序CPU占用率300%,

很明显是病毒进程,下意识的把它kill了,但是一分钟之后又自动重启了,于是百度了一下,发现这个东西叫做挖矿工,简单的说,就是别人用你的服务器去做它自己的事,然后赚钱。

      知道wnTKYg是什么鬼之后,我不急着杀死它,先百度了一下它怎么进来的,百度上关于它的帖子特别少,说是钻了redis的空子进来的,我基本上赞同这个说法,第一步就是对redis进行了配置上的修改:
① 把默认的端口号6379给改了
② 把密码改的更复杂了
③ 把bind xx.xx.x.xxx.xx.xx.xx改了
          修改redis是防止这熊孩子再进来, 第二步就是把已经入驻的木马杀死,它不仅使用我的服务器,它还登录我的账号,所以查看了  /root/.ssh下的文件,在/root/.ssh/known_hosts中发现了我不认识的IP,绝对有问题,于是干脆把  /root/.ssh下的文件都删了,省事了。
      第三步就是要找到所有关于病毒的文件, 执行命令  find / -namewnTKYg*,只有/tmp下有这个文件,删了,然后就去killwnTKYg进程,你以为这样它就可以死了吗?Never!一分钟之后它又复活了,我猜测一定有守护进程在唤醒它,于是我再kill 然后top观察进行变化,终于被我发现了,有一个 /tmp/ddg.1007进程很可疑,于是百度这个东东验证了一下,果然,就是 挖矿工的守护进程,用 ps-aux|grep ddg 命令把所有ddg进程找出来杀掉,并 删除/tmp目录下的所有的对应ddg文件,至此,病毒被解决了,异地登录,安全扫描什么的也被我解决了。
          很多哥们也遇到了这个问题,加了我好友,并且描述了他们的一些情况,我会把他们的改进和补充也写在此贴里,有的哥们会有个定时任务下载这些东西,目录 /var/spool/cron,记得留意这个文件夹,如果遇到,就把它干掉。
          安全问题依然严峻,于是找了一家安全公司--安全狗咨询了下相关的安全业务,发现蛮贵的,都是万开头的,而且我也不知道他们水平怎么样,于是把我遇到的问题跟业务员说了,看看他们怎么解决,怎么收费,谈判了一下午,定价3500,没的再低了, 哎,还是我好,又为公司省了3500。
     
   因为发了这篇帖子,一位和我情况差不多的网友也提供了一种解决方案,我把他的也贴进来与大家分享谢谢这位网友:首先关闭挖矿的服务器访问  iptables  -A  INPUT  -s  xmr.crypto-pool.fr  -j  DROP
iptables  -A  OUTPUT  -d  xmr.crypto-pool.fr  -j  DROP          然后删除yam 文件    用find / -nameyam查找yam文件        之后 找到wnTKYg 所在目录 取消掉其权限  并删除 然后再取消掉 tmp的权限并删除  之后 pkill  wnTKYg就OK了。
当然,我也咨询了阿里的解决方案,有两个,①找第三方安全公司杀②把数据备份一下,重置系统 。  坑爹的阿里啊。以后大家遇到病毒了,可以一起研究一下,我的QQ 624907290

转载:http://blog.sina.com.cn/s/blog_c08907b10102wyyl.html

清除“wnTKYg” 挖矿工木马。相关推荐

  1. 清除wnTKYg 这个挖矿工木马的过程讲述

    由于工作需要,我由一个专业java开发工程师,渐渐的也成为了不专业的资深的运维工程师了.感慨一番,书归正传,下面就讲解wnTKYg如何清除.最近项目在做性能测试,发现CPU使用率异常,无人访问时CPU ...

  2. 清除qW3xT.2 这个挖矿工木马的过程

    我遇到的是qW3xT.2病毒 按照下面的方法也解决了 原文地址: http://blog.sina.com.cn/s/blog_c08907b10102wyyl.html 杀wnTKYg病毒分两步,第 ...

  3. 阿里云CentOS7.2清除wnTKYg木马

    最近发现阿里云CPU占用很高,一直是100%,重启之后降下来了,但过一会又100%. 用top命令查了一下,发现是wnTKYG进程占用了99.9%,百度了一下wnTKYG说是一个挖矿木马,中毒原因应该 ...

  4. CentOS7清除wnTKYg木马

    今天偶然发现服务器cpu占用率一直是100%,top查看了发现是一个名为wnTKYg的进程. 网上查找说是一个挖矿木马,清理之后做个记录. 木马如下图: 尝试pkill -9 wnTKYg杀死进程,发 ...

  5. 对症下药教你清除电脑中的木马

    特洛伊木马是一种基于远程控制的病毒程序,该程序具有很强的隐蔽性和危害性,它可以在不知情的的状态下控制或者监视用户的电脑.下面就讲讲木马经常藏身的地方和清除方法. 首先查看自己的电脑中是否有木马 1.集 ...

  6. 如何干净地清除电脑中的木马病毒

    本文只是针对常见的已知病毒的一些通用的基本的清除方法,并不专门讨论针对某种或者某类病毒的清除方法,如果按照这些清除方法仍不能干净清除病毒,请参见相关的文章,或另文提出,谢谢! 一.使用正确的杀毒方法 ...

  7. 记一次服务器被挖矿木马攻击的经历

    背景 利用空余时间买了台服务器做了个小网站玩,今天访问了一下,加载巨慢,一看服务器运行情况,CPU飙到100%,按CPU消耗排序,排在第一的是一个名为"imWBR1"的进程,查了一 ...

  8. 新网银木马BankJp详细分析与清除

    病毒名:Win32.Troj.BankJp.a.221184 这是一个具有破坏性的新网银木马病毒.会查找"个人银行专业版"的窗口并盗取网银账号密码,如招商银行等:该病毒还会替换大量 ...

  9. 详解新网银木马清除技巧

    近日,金山反病毒中心截获一特殊的新网银木马病毒,该木马会删除系统的关键登录程序userinit.exe,导致系统重启后反复登录,无法进入桌面.金山反病毒中心已经紧急升级处理该病毒,将提供了系统修复方案 ...

最新文章

  1. 美翻朋友圈:用Python生成蒙太奇马赛克图片
  2. testng入门教程5TestNG套件测试
  3. Python -itertools模块combinations方法
  4. 代做html网页多少钱,代做排名网站有吗,做排名帮你实现财富自由
  5. 通过adb巧用monkey获取android设备中所有应用的主activity
  6. python3爬虫学习笔记
  7. Conda solving environment一晚上还不能完成有解吗?
  8. 使用FSO修改文件夹的名称
  9. 第四章 选择结构(二)
  10. 系统学习机器学习之正则化(一)
  11. 30种图像动画特效算法(C#多线程版)(上)
  12. java随机点名器的代码_巧用Excel制作随机点名器,简单易学,快来尝试吧
  13. 菩提心的修法-四无量心的具体修法
  14. adb命令连接设备出现Offline
  15. 经典论文复现|手把手带你复现ICCV 2017经典论文—PyraNet
  16. moment.js 中文API
  17. 搜索引擎推广公司引擎推广方法及技巧
  18. Criteria条件查询
  19. CentOS 7中DHCP的介绍与搭建DHCP中继服务(理论+实践)
  20. ro.secure与ro.debuggable

热门文章

  1. 2022-2028全球及中国蛋白激酶抑制剂行业研究及十四五规划分析报告
  2. mysql主键索引和普通索引之间的区别
  3. 微软推出Surface Pro 7及Laptop 3 硬件常规升级
  4. Cadence Virtuoso 文件.cdsinit 修改提示
  5. 微信上历史记录功能开发
  6. Java酒瓶瓶盖_一种白酒瓶瓶盖组件的制作方法
  7. 华为复制加密门禁卡_华为钱包众测,增加银行卡/门禁卡复制功能!
  8. 简单粗暴解决”依赖服务或组件无法启动“,电脑无法上网的问题!
  9. 机器学习进阶(4):熵,联合熵,条件熵,互信息的推导和联系
  10. java entryset()_Java TreeMap entrySet()用法及代码示例