前一段時間突然收到一條服務器CPU告警，大致看了下是一臺測試機，剛剛開始以為是在做壓力測試，但是再認真看下服務器的CPU是在極高的負載下發的告警，就去咨詢了下發現此時並沒有在壓力測試，平時如果測試服務沒有做壓測的時候CPU是幾乎負載都極地的，此時服務器突然CPU高負載是極為不正常，所以就連上服務器用glances看了下發現有一個“wnTKYg”的進程使用大量的cpu，在跟蹤pid發現有一個二進制文件運行在/tmp目錄下的，看了下且上網查詢得知是挖礦程序，因為是在測試服務器上服務器的防火墻寫的就不是很嚴格，好吧直接kill掉，再跟蹤一段發現二進制文件又被啟動，剛剛開始以為是是服務器被shell反彈，在/root/.ssh/known_hosts中也未發現未知ip的授權，於是就跟蹤了下系統端口監聽，結果過濾排查了一遍發現並沒有異常，於是再用glances跟蹤了下發現還有一個守護進程於是kill掉，同時根據pid跟蹤得發現有一腳本不斷重定向系統的cron任務文件中，打開crontab後發現是有一條每隔一分鐘啟動一次的定時任務，於是直接也刪除任務,此時再用find查找整個文件系統發現僅有在/tmp目錄下有相關的文件，直接刪除此時再跟蹤一段發現服務器負載正常，上網查閱了下資料發現wnTKYg一般都是通過端口掃描出通用端口上傳上來的文件，自己結合系統日誌發現系統中的測試redis是使用默認端口且沒有密碼防火墻上也是對所以公網開放，最後在iptables上修改添加相應的限制，最後在給redis添加授權，此外其他一些默認服務端口也做相應排查，修改iptables策略，不得不說現在網絡上的掃描太多了，在有公網ip的不是生產環境的服務器上就不使用添加相應的防火墻策略和弱密碼，這樣會帶來很大的隱患，且在平時需要根據實環境實時調整相應的服務器監控策略

本文出自 “Jim的技術隨筆” 博客，轉載請與作者聯系！

記錄一次wnTKYg挖礦木馬發現和清理