突然憶起了很久之前遇到的一個問題,記得當年自己還很淳樸稚嫩,只想安安靜靜的拿着需求文檔擼代碼。某天因爲項目需求,需要用到Redis服務器,於是自己就只好屁顛屁顛的百度搜索教程,還真的就讓咱弄出來了。可是第二天,阿里雲服務器卻報警了,老有提示說可能中了木馬病毒。於是我登入linux服務器,使用 top -c 命令查看服務器內存使用情況,果然發現一個陌生的程序佔用着我90%以上的內存資源。我大怒之下通宵百度查找解決方案,最終找到了下面這篇博客才成功解決,由於服務器沒有集羣,所以我直接將redis設置了只允許本地訪問,杜絕了遠程訪問密碼被破解的風險。分割線以下內容轉載自前世張公子的博客 http://blog.sina.com.cn/s/blog_c08907b10102wyyl.html,本人只做了部分排版,特此聲明。同時也可參考另一篇博客阿里雲服務器報 Liunx異常文件下載、挖礦進程、SSH遠程非交互式一句話異常指令執行,wnTKYg病毒
殺wnTKYg病毒分兩步,第一是找到它的來源,切斷入口,第二步,找到它的守護進程並殺死,然後再去殺死病毒進程,有的守護進程很隱蔽,喚醒病毒之後,自動消亡,這時候top就看不到了,要留心。
由於工作需要,我由一個專業java開發工程師,漸漸的也成爲了不專業的運維工程師了。最近項目在做性能測試,發現CPU使用率異常,無人訪問時CPU也一直保持75%,然後在xShell上top了一下,發現wnTKYg這個程序CPU佔用率300%,
很明顯是病毒進程,下意識的把它kill了,但是一分鐘之後又自動重啓了,於是百度了一下,發現這個東西叫做挖礦工,簡單的說,就是別人用你的服務器去做它自己的事,然後賺錢。
知道wnTKYg是什麼鬼之後,我不急着殺死它,先百度了一下它怎麼進來的,百度上關於它的帖子特別少,說是鑽了redis的空子進來的,我基本上贊同這個說法,第一步就是對redis進行了配置上的修改:
① 把默認的端口號6379給改了 ② 把密碼改的更復雜了 ③ 把bind xx.xx.x.x xx.xx.xx.xx改了
修改redis是防止這熊孩子再進來,第二步就是把已經入駐的木馬殺死,它不僅使用我的服務器,它還登錄我的賬號,所以查看了 /root/.ssh 下的文件,在/root/.ssh/known_hosts中發現了我不認識的IP,絕對有問題,於是乾脆把 /root/.ssh 下的文件都刪了,省事了。
第三步就是要找到所有關於病毒的文件, 執行命令 find / -name wnTKYg*,只有/tmp下有這個文件,刪了,然後就去kill wnTKYg進程,你以爲這樣它就可以死了嗎?Never!一分鐘之後它又復活了,我猜測一定有守護進程在喚醒它,於是我再kill 然後top觀察進行變化,終於被我發現了,有一個/tmp/ddg.1007進程很可疑,於是百度這個東東驗證了一下,果然,就是挖礦工的守護進程,用ps -aux|grep ddg 命令把所有ddg進程找出來殺掉,並刪除/tmp目錄下的所有的對應ddg文件,至此,病毒被解決了,異地登錄,安全掃描什麼的也被我解決了。
很多哥們也遇到了這個問題,加了我好友,並且描述了他們的一些情況,我會把他們的改進和補充也寫在此貼裏,有的哥們會有個定時任務下載這些東西,目錄 /var/spool/cron,記得留意這個文件夾,如果遇到,就把它幹掉。
安全問題依然嚴峻,於是找了一家安全公司--安全狗諮詢了下相關的安全業務,發現蠻貴的,都是萬開頭的,而且我也不知道他們水平怎麼樣,於是把我遇到的問題跟業務員說了,看看他們怎麼解決,怎麼收費,談判了一下午,定價3500,沒的再低了,哎,還是我好,又爲公司省了3500。
因爲發了這篇帖子,一位和我情況差不多的網友也提供了一種解決方案,我把他的也貼進來與大家分享謝謝這位網友:
首先關閉挖礦的服務器訪問 :
iptables -A INPUT -s xmr.crypto-pool.fr -j DROP
iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP
然後刪除yam 文件 用find / -name yam查找yam 文件之後,找到wnTKYg 所在目錄,取消掉其權限,並刪除 然後再取消掉 tmp 的權限並刪除 ,之後 pkill wnTKYg就OK了。
當然,我也諮詢了阿里的解決方案,有兩個,①找第三方安全公司殺②把數據備份一下,重置系統 。 對於小廠的人來說,這兩種方式代價都太高了。以後大家遇到病毒了,可以一起研究一下,我的QQ 624907290
如果覺得這篇文章對您起了幫助,記得點贊加評論,讓更多人可以看到,問題能夠快速的解決。