阿裏雲服務器報 Liunx異常文件下載處理辦法
阿新 • • 發佈:2018-04-18
cpu nbsp ron 應該 服務 交互 阿裏雲服務 別人 漏洞
阿裏雲服務器報 Liunx異常文件下載、挖礦進程、SSH遠程非交互式一句話異常指令執行
1、刪除crontab裏面的自啟動腳本
2、刪除authorized_keys 裏面密匙
3、刪除#/var/spool/cron下的自啟動腳本,root和crontabs
4、刪除/etc/crontab 裏面的自啟動腳本
5、進如/tmp目錄下,刪除wnTKYg、ddg.2020文件並停掉進程,刪除Aegis- 開頭的文件夾
6、刪除#rm -rf /usr/local/aegis/Aegis-\<Guid5A2C30A2−A87D−490A−9281−6765EDAD7CBA\> 文件
阿裏雲服務器報 Liunx異常文件下載、挖礦進程、SSH遠程非交互式一句話異常指令執行,經排查為wnTKYg病毒,具體修復步驟如下:
- 通過#top -c排查CPU占內存很高的進程
- 19146 root 20 0 236236 5200 1024 S 99.7 0.1 9518:01 /tmp/wnTKYg
- 刪除#/var/spool/cron下的自啟動腳本,root和crontabs
- 通過進程查看到該文件目錄為 /tmp下,刪除wnTKYg並殺進程,但是4S後還會自啟動,經過排查應該還有守護進程,在/tmp 目錄下找到ddg.2020文件,刪除該文件並停掉ddg.2020進程
- 刪除#rm -rf /usr/local/aegis/Aegis-\<Guid5A2C30A2−A87D−490A−9281−6765EDAD7CBA\> 文件
- 重新檢查wnTKYg和ddg.2020進程是否存在
-
問題總結
-
這樣的病毒是直接遠程連接redis,一般redis都是root安裝的,連接redis也就掌握了root權限,它可以往你的定時任務裏寫內容。
- 中這樣的病毒大多都是因為redis沒有設置密碼,存在著很大的安全漏洞,所以大家要設置redis密碼,並且更改redis的端口。安裝時最好別用root安裝。
- 查了些資料看有人說這是在挖幣,wnTKYg是門羅幣,所以大家要註意服務器的安全,別讓自己的資源讓別人用來掙錢。
阿裏雲服務器報 Liunx異常文件下載處理辦法