当前位置: > 故障解决 > CentOS系统问题 >

解决阿里云服务器被入侵挂上了wnTKYg挖矿程序办法

时间:2017-11-11 01:21来源:blog.csdn.net 作者:软件销售员 举报 点击:

阿里云报警情况:

原因:

病毒通过redis漏洞入侵了服务器,并且安装运行了挖矿机程序

第一步:先停掉redis服务进程

第二步:杀掉病毒进程和删除病毒文件

1:执行top命令,发现wnTKYg竟然占用了99.9%的CPU

2:进入/tmp目录下,会看到有如下两个文件,删除/tmp下所有文件后kill -9 wnTKYg PID

3:记得也把这个ddg.2020进程也给kill掉,要不然这个会执行定时任务重新生成并运行挖矿程序

4:最后删除下 /var/spool/cron(定时任务)下的文件

5: 进入/root/.ssh 查看该目录下的文件是否被修改过,vim去掉被添加的内容

修改redis 配置

 - 修改端口号
 - 修改密码
 - 修改bind IP

wnTKYg样本:http://pan.baidu.com/s/1eRKGarg 密码:4768  参考博客:http://blog.sina.com.cn/s/blog_c08907b10102wyyl.html(清除wnTKYg 这个挖矿工木马的过程讲述

------分隔线----------------------------
发表评论
为了和诣的生活,我关闭了评论页面,请大家到QQ群里交流吧:348944156,也欢迎关注本站微信公众号:centoscn