由于工作需要,我由一个专业java开发工程师,渐渐的也成为了不专业的资深的运维工程师了。感慨一番,书归正传,下面就讲解wnTKYg如何清除。最近项目在做性能测试,发现CPU使用率异常,无人访问时CPU也一直保持75%,然后在xShell上top了一下,发现wnTKYg这个程序CPU占用率300%,

直觉告诉我,一定是木马,下意识的把它kill了,但是一分钟之后又自动重启了,于是百度了一下,发现这个东西叫做挖矿工,简单的说,就是别人用你的服务器去做它自己的事,然后赚钱。

知道wnTKYg是什么鬼之后,我不急着杀死它,而是特别好奇它来自何方,怎么进来的,百度上关于它的帖子特别少(这也是我决定写这篇帖子的主要原因),说是钻了redis的空子进来的,我基本上赞同这个说法,第一步就是对redis进行了配置上的修改:
① 把默认的端口号6379给改了
② 把密码改的更复杂了
③ 把bind xx.xx.x.x xx.xx.xx.xx改了
修改redis是防止这熊孩子再进来,下一步就是把已经入驻的木马杀死,它不仅使用我的服务器,它还登录我的账号,所以查看了 /root/.ssh 下的文件,在/root/.ssh/known_hosts中发现了我不认识的IP,绝对有问题,于是干脆把 /root/.ssh 下的文件都删了,省事了。
       第三步就是要找到所有关于病毒的文件, 执行命令  find / -name wnTKYg*,只有/tmp下有这个文件,删了,然后就去kill wnTKYg进程,你以为这样它就可以死了吗?Never!一分钟之后它又复活了,我猜测一定有守护进程在唤醒它,于是我再kill  然后top观察进行变化,终于被我发现了,有一个/tmp/ddg.1007进程很可疑,于是百度这个东东验证了一下,果然,就是挖矿工的守护进程,于是把它也杀了,至此,病毒被我解决了,异地登录,安全扫描什么的也被我解决了。
因为在360安全论坛里留下了我的QQ,很多哥们也遇到了这个问题,加了我好友,并且描述了他们的一些情况,我会把他们的改进和补充也写在此贴里,有的哥们会有个定时任务下载这些东西,目录/var/spool/cron,记得留意这个文件夹,如果遇到,就把它干掉。
安全问题依然严峻,于是找了一家安全公司--安全狗咨询了下相关的安全业务,发现蛮贵的,都是万开头的,而且我也不知道他们水平怎么样,于是把我遇到的问题跟业务员说了,看看他们怎么解决,怎么收费,谈判了一下午,定价3500,没的再低了,哎,还是我好,又为公司省了3500。
     
    因为发了这篇帖子,一位和我情况差不多的网友也提供了一种解决方案,我把他的也贴进来与大家分享谢谢这位网友:首先关闭挖矿的服务器访问 iptables -A INPUT -s  xmr.crypto-pool.fr -j DROP
iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP      然后删除yam 文件   用find / -name yam查找yam 文件     之后 找到wnTKYg 所在目录 取消掉其权限  并删除 然后再取消掉 tmp 的权限并删除  之后 pkill wnTKYg就OK了。
当然,我也咨询了阿里的解决方案,有两个,①找第三方安全公司杀②把数据备份一下,重置系统 。  坑爹的阿里啊。以后大家遇到病毒了,可以一起研究一下,我的QQ 624907290
如果觉得这篇文章对您起了帮助,记得点赞加评论,让更多人可以看到,问题能够快速的解决

http://blog.sina.com.cn/s/blog_c08907b10102wyyl.html

清除wnTKYg 这个挖矿工木马的过程讲述相关推荐

  1. 清除qW3xT.2 这个挖矿工木马的过程

    我遇到的是qW3xT.2病毒 按照下面的方法也解决了 原文地址: http://blog.sina.com.cn/s/blog_c08907b10102wyyl.html 杀wnTKYg病毒分两步,第 ...

  2. 清除“wnTKYg” 挖矿工木马。

    杀wnTKYg病毒分两步,第一是找到它的来源,切断入口,第二步,找到它的守护进程并杀死,然后再去杀死病毒进程,有的守护进程很隐蔽,唤醒病毒之后,自动消亡,这时候top就看不到了,要留心. 由于工作需要 ...

  3. 阿里云CentOS7.2清除wnTKYg木马

    最近发现阿里云CPU占用很高,一直是100%,重启之后降下来了,但过一会又100%. 用top命令查了一下,发现是wnTKYG进程占用了99.9%,百度了一下wnTKYG说是一个挖矿木马,中毒原因应该 ...

  4. 分析teamTNT团队Linux挖矿木马执行过程与防范

    分析teamTNT团队Linux挖矿木马执行过程与防范 公司需要扩展海外业务,需要有一台海外云服务器.当我们把应用部署上去时的第二天所有应用down掉了,然后发现ssh连接服务器特别慢.好不容易连接上 ...

  5. 手工彻底清除各种顽固性 Trojan Horse 木马的方法

    许多电脑用户会经常遇到自己的防毒软件报告发现 Trojan Horse 这种病毒但却无法清除和隔离它的情况, 或者是在清除后不久它又出现了,让人非常苦恼.这时该怎么办呢? 其实 Trojan Hors ...

  6. CentOS7清除wnTKYg木马

    今天偶然发现服务器cpu占用率一直是100%,top查看了发现是一个名为wnTKYg的进程. 网上查找说是一个挖矿木马,清理之后做个记录. 木马如下图: 尝试pkill -9 wnTKYg杀死进程,发 ...

  7. php限制一个函数在几分钟内不被调用_在PHP一句话木马使用过程中的种种坑点分析...

    前言 在平时的学习和练习过程中,经常会遇到上传的一句话木马无法执行我们的命令或者说能执行命令但是不能连接菜刀蚁剑等webshell管理工具,以及各个版本PHP所限制的一些一句话木马的写法,不同版本we ...

  8. 一个名叫aliyun的挖矿木马处理过程

    点击箭头处 "蓝色字" ,关注我哦!! 作者 | @hksanduo 来源 | https://hksanduo.club/security/2019/12/19/clean-up ...

  9. 阿里云服务器中挖矿木马处理过程

    在阿里云租用一台服务器,最近发现被异地登陆,紧接着出现异常下载. 登陆服务器,发现CPU达100%,并且安骑士提示有挖矿进程. 因为对linux系统不是很熟悉,故而边找资料边处理实验,最后记录下来以便 ...

最新文章

  1. 二叉树的建造、递归与非递归遍历
  2. Nginx虚拟机主机根据不同的域名使用不同的root路径
  3. xcode 自带的git工具创建项目流程
  4. 前端设计模式责任链模式
  5. 【Linux系统编程】进程和线程的区别
  6. Constructor sap.ui.core.ComponentContainer has been called without new operator
  7. 调试调试调试调试调试调试调试调试调试调试调试调试调试调试调试调试调试调试调试调试调试调试调试调试调试调试调试调试调试调试调试调试调试调试调试调试调试调试调试调试调试调试调试调试调试调试调试调试调试调试
  8. [Redux/Mobx] 在redux中,什么是store?
  9. CVPR2021 DRConv:即插即用!旷视孙剑、张祥雨团队提出动态区域感知的卷积,涨点显著!...
  10. 第七章信息系统安全工程考试要点及真题分布
  11. springboot jar包运行中获取资源文件
  12. 未能加载文件或程序集 请移除注册表值 [HKLM/Software/Microsoft/Fusion!EnableLog] 解决方法
  13. 生产者消费者 java实现_Java生产者消费者的三种实现
  14. Cobbler详解(五)——cobbler常用命令
  15. Kotlin教程(一):走进Kotlin的世界
  16. AXI总线的一些知识
  17. ts540服务器安装win7系统,解决本机不支持Win7系统安装问题[图文教程]
  18. PHP+Elisticsearch-7.15+Dejavu综合使用教程
  19. android桌面 vulkan,Vulkan 设计指南
  20. C++人工智能相关书籍

热门文章

  1. 解决浏览器会自动填充密码的问题
  2. html二维数组查找车票,用C语言设计出的火车票系统
  3. bookstrap表单的用法
  4. QQ防盗防病毒的几点须知
  5. 基于SSM框架的云图库系统的设计与实现
  6. tightvnc安装和使用,tightvnc安装和使用教程图解
  7. 在Android studio的一个新建的Activity中添加Toolbar以及相应的功能添加
  8. DQL: Dueling Double DQN, Prioritized Experience Replay, and fixed Q-targets(三下)
  9. conda添加镜像源
  10. 浅浅的 使用网络调试助手和Mosquitto 分析MQTT协议数据包内容