码迷,mamicode.com
首页 > 系统相关 > 详细

彻底杀掉redis挖矿程序及其守护进程wnTKYg

时间:2017-08-01 20:52:06      阅读:339      评论:0      收藏:0      [点我收藏+]

标签:访问   而且   red   /tmp   -name   守护   完全   连接   color   

今天又遇到了一件烦心的事,前几天刚解决服务器内存跑满的问题,今天又碰到了神奇而又久违的redis挖矿程序。

查询了一下挖矿,就是有人借助redis漏洞借用别人的服务器进行挖矿。

上次做电子商城项目时,开发过程中环境用的阿里云服务器,中途碰到了俄罗斯的ip成功黑了我的服务器,好在文件访问权限有限制,对方仅给我home目录加了密。后来,实在担心留有其它隐藏程序,还是重置了服务器,可怜了又要装一大把的环境。

后来,查阅了一下资料,有人说给配置文件的bind属性取消注释并绑定上ip就行。信了个邪,完全没用。

用top命令查看,杀掉》》》》》》没用!!!

技术分享

守护进程???找出来,杀掉》》》》》》没用!!!!!

删除文件???找出来【find / -name wnTKYg】没用!!!过两分钟又会重现!!!

技术分享

这次wnTKYg, 这个程序的进程守护很牛逼,根据网友的解决方案,杀掉其进程和守护进程,并且在/tmp目录下删除 ddg.2004和wnTKYg文件,然后并没有用,过两分钟,wnTKYg进程依然起来,查询进程PID想杀掉,有的居然杀不掉!!而且还会让你的远程连接断掉!!!

后来,查询了另外一位网友的解决方案,原来问题出在一个定时任务:

目录 /var/spool/cron,记得留意这个文件夹!如果自己层写过一些定时任务,还是忍痛割爱删掉吧,删掉这个目录,没有出现过几分钟又重新跑满CPU的问题。

技术分享

 

还是要感谢网友张先生:http://blog.sina.com.cn/s/blog_c08907b10102wyyl.html

 

彻底杀掉redis挖矿程序及其守护进程wnTKYg

标签:访问   而且   red   /tmp   -name   守护   完全   连接   color   

原文地址:http://www.cnblogs.com/tc520/p/7270160.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!