阿里云报警情况:
原因:
病毒通过redis漏洞入侵了服务器,并且安装运行了挖矿机程序第一步:先停掉redis服务进程
第二步:杀掉病毒进程和删除病毒文件
1:执行top命令,发现wnTKYg竟然占用了99.9%的CPU
2:进入/tmp目录下,会看到有如下两个文件,删除/tmp下所有文件后kill -9 wnTKYg PID
3:记得也把这个ddg.2020进程也给kill掉,要不然这个会执行定时任务重新生成并运行挖矿程序
4:最后删除下 /var/spool/cron(定时任务)下的文件
5: 进入/root/.ssh 查看该目录下的文件是否被修改过,vim去掉被添加的内容
修改redis 配置
- 修改端口号
- 修改密码
- 修改bind IPwnTKYg样本:http://pan.baidu.com/s/1eRKGarg 密码:4768
参考博客:http://blog.sina.com.cn/s/blog_c08907b10102wyyl.html(清除wnTKYg 这个挖矿工木马的过程讲述
版权声明:本文为weixin_36241363原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接和本声明。