挖礦程序minerd，wnTKYg入侵分析和解決

作者:CYH

一．起因：最近登陸一臺redis服務器 發現登陸的時間非常長，而且各種命令敲大顯示出的內容延遲很高

二，分析：

首先我安裝了iftop監控em1這個網卡流量

Iftop -i em1

發現裏面的流量使用很低，沒多少服務使用大的流量，沒占用帶寬，排除了ddos大流量攻擊可能

接著我輸入命令top 查看各種負載，一看嚇一跳，cpu平均負載達到70左右，使用率達到99.9%，怪不得這麽卡，而且那個發現了有倆個文件占用的cpu分別達到792.5%,787.4%,778.6%

我檢查了一下服務記錄表，發現這臺機沒有這個這倆個文件，而且cpu占用，懷疑被黑了，然後我把那倆個文件搜索一下，發現這居然是挖礦的木馬程序

解決：我先用命令

ps -ef |grep minerd

ps -ef |grep wnTKYg

過濾倆個文件進程，發現木馬程序運行的路徑，以及入侵時間，以及啟動木馬程序代碼命令，minerd在opt目錄下，wnTKYg和ddg.2011的程序在/tmp下

解決方法：

1.先停掉挖礦程序進程

2. 關閉訪問挖礦服務器的訪問 ，防火墻添加策略

iptables -A INPUT -s xmr.prohash.net -j DROP

iptables -A OUTPUT -d xmr.prohash.net -j DROP

3.chmod -x minerd 或者chmod 000 minerd /chmod 000 wnTKYg/chmod 000 ddg.2011 取消掉執行權限或者所有權限

4.在沒有找到根源前，千萬不要刪除 minerd wnTKYg ddg.2011，因為刪除了，過一回會自動有生成一個。

5. pkill minerd pkill wnTKYg pkill ddg.2011或者kill -9 進程號 殺掉進程

6. 查看一下定時任務，看看有沒有可疑的定時任務在執行

service stop crond 或者 crontab -r 刪除所有的執行計劃

7. 最後執行top，查看了一會，沒有再發現minerd wnTKYg ddg.2011進程了,服務器的cpu負載也慢慢下降，為了徹底根除病毒，服務配置進行遷移，系統進行重新安裝。

分析：解決minerd等木馬並不是最終的目的，主要是要查找問題根源，我的服務器問題出在了redis服務了，黑客利用了redis的一個漏洞獲得了服務器的訪問權限，然後就註入了病毒

下面是解決辦法和清除工作

1. 修復 redis 的後門,

1. 配置bind選項, 限定可以連接Redis服務器的IP, 並修改redis的默認端口6379.

2. 配置AUTH, 設置密碼, 密碼會以明文方式保存在redis配置文件中.

3. 配置rename-command CONFIG “RENAME_CONFIG”, 這樣即使存在未授權訪問, 也能夠給攻擊者使用config指令加大難度

4. 好消息是Redis作者表示將會開發”real user”，區分普通用戶和admin權限，普通用戶將會被禁止運行某些命令，如conf

2. 打開 ~/.ssh/authorized_keys, 刪除你不認識的賬號

3. 查看你的用戶列表，是不是有你不認識的用戶添加進來。 如果有就刪除掉.

· 查了些資料看有人說這是在挖幣，wnTKYg是門羅幣，所以大家要註意服務器的安全，別讓自己的資源讓別人用來掙錢。

本文出自 “運維之路” 博客，轉載請與作者聯系！

  挖礦程序minerd，wnTKYg入侵分析和解決