下午發現伺服器CPU:

12618 root      20   0  680m  17m 1280 S 699.9  0.1  72:13.24 wnTKYg 

網上收索解決辦法copy如下：

下面就講解wnTKYg如何清除。最近專案在做效能測試，發現CPU使用率異常，無人訪問時CPU也一直保持75%，然後在xShell上top了一下，發現wnTKYg這個程式CPU佔用率300%

直覺告訴我，一定是木馬，下意識的把它kill了，但是一分鐘之後又自動重啟了，於是百度了一下，發現這個東西叫做挖礦工，簡單的說，就是別人用你的伺服器去做它自己的事，然後賺錢。

       知道wnTKYg是什麼鬼之後，我不急著殺死它，而是特別好奇它來自何方，怎麼進來的，百度上關於它的帖子特別少（這也是我決定寫這篇帖子的主要原因），說是鑽了redis的空子進來的，我基本上贊同這個說法，第一步

就是對redis進行了配置上的修改： ① 把預設的埠號6379給改了 ② 把密碼改的更復雜了 ③ 把bind xx.xx.x.x xx.xx.xx.xx改了        修改redis是防止這熊孩子再進來，下一步就是把已經入駐的木馬殺死，它不僅使用我的伺服器，它還登入我的賬號，所以查看了 /root/.ssh 下的檔案，在/root/.ssh/known_hosts中發現了我不認識的IP，絕對有問題，於是乾脆把 /root/.ssh 下的檔案都刪了，省事了。        第三步就是要找到所有關於病毒的檔案， 執行命令  find / -name wnTKYg*，只有/tmp下有這個檔案，刪了，然後就去kill wnTKYg程序，你以為這樣它就可以死了嗎？Never！一分鐘之後它又復活了，我猜測一定有守護程序在喚醒它，於是我再kill  然後top觀察進行變化，終於被我發現了，有一個/tmp/ddg.1007程序很可疑，於是百度這個東東驗證了一下，果然，就是挖礦工的守護程序，於是把它也殺了，至此，病毒被我解決了，異地登入，安全掃描什麼的也被我解決了。        因為在360安全論壇裡留下了我的QQ，很多哥們也遇到了這個問題，加了我好友，並且描述了他們的一些情況，我會把他們的改進和補充也寫在此貼裡，有的哥們會有個定時任務下載這些東西，目錄/var/spool/cron，記得留意這個資料夾，如果遇到，就把它幹掉。        安全問題依然嚴峻，於是找了一家安全公司--安全狗諮詢了下相關的安全業務，發現蠻貴的，都是萬開頭的，而且我也不知道他們水平怎麼樣，於是把我遇到的問題跟業務員說了，看看他們怎麼解決，怎麼收費，談判了一下午，定價3500，沒的再低了，哎，還是我好，又為公司省了3500。

    因為發了這篇帖子，一位和我情況差不多的網友也提供了一種解決方案，我把他的也貼進來與大家分享謝謝這位網友：首先關閉挖礦的伺服器訪問 iptables -A INPUT -s  xmr.crypto-pool.fr -j DROP
iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP      然後刪除yam 檔案   用find / -name yam查詢yam 檔案     之後 找到wnTKYg 所在目錄 取消掉其許可權  並刪除 然後再取消掉 tmp 的許可權並刪除  之後 pkill wnTKYg就OK了。
當然，我也諮詢了阿里的解決方案，有兩個，①找第三方安全公司殺②把資料備份一下，重置系統  ======================================================================================

解決minerd並不是最終的目的，主要是要查詢問題根源，我的伺服器問題出在了redis服務了，黑客利用了redis的一個漏洞獲得了伺服器的訪問許可權，http://blog.jobbole.com/94518/然後就注入了病毒，下面是解決辦法和清除工作：

1. 修復 redis 的後門,

1. 配置bind選項, 限定可以連線Redis伺服器的IP, 並修改redis的預設埠6379.
2. 配置AUTH, 設定密碼, 密碼會以明文方式儲存在redis配置檔案中.
3. 配置rename-command CONFIG “RENAME_CONFIG”, 這樣即使存在未授權訪問, 也能夠給攻擊者使用config指令加大難度
4. 好訊息是Redis作者表示將會開發”real user”，區分普通使用者和admin許可權，普通使用者將會被禁止執行某些命令，如conf

2. 開啟 ~/.ssh/authorized_keys, 刪除你不認識的賬號

3. 檢視你的使用者列表，是不是有你不認識的使用者新增進來。 如果有就刪除掉.