码迷,mamicode.com
首页 > 其他好文 > 详细

阿里云服务器报 Liunx异常文件下载处理办法

时间:2018-04-18 21:22:51      阅读:242      评论:0      收藏:0      [点我收藏+]

标签:cal   守护进程   tabs   root   abs   漏洞   cpu   问题总结   文件夹   

阿里云服务器报 Liunx异常文件下载、挖矿进程、SSH远程非交互式一句话异常指令执行

1、删除crontab里面的自启动脚本

2、删除authorized_keys 里面密匙

3、删除#/var/spool/cron下的自启动脚本,root和crontabs

4、删除/etc/crontab 里面的自启动脚本

5、进如/tmp目录下,删除wnTKYg、ddg.2020文件并停掉进程,删除Aegis- 开头的文件夹

6、删除#rm -rf /usr/local/aegis/Aegis-\<Guid5A2C30A2−A87D−490A−9281−6765EDAD7CBA\> 文件

 

阿里云服务器报 Liunx异常文件下载、挖矿进程、SSH远程非交互式一句话异常指令执行,经排查为wnTKYg病毒,具体修复步骤如下:
  • 通过#top -c排查CPU占内存很高的进程
  • 19146 root      20   0  236236   5200   1024 S  99.7  0.1   9518:01 /tmp/wnTKYg
  • 删除#/var/spool/cron下的自启动脚本,root和crontabs
  • 通过进程查看到该文件目录为 /tmp下,删除wnTKYg并杀进程,但是4S后还会自启动,经过排查应该还有守护进程,在/tmp 目录下找到ddg.2020文件,删除该文件并停掉ddg.2020进程
  • 删除#rm -rf /usr/local/aegis/Aegis-\<Guid5A2C30A2−A87D−490A−9281−6765EDAD7CBA\>    文件
  • 重新检查wnTKYg和ddg.2020进程是否存在

 

  • 问题总结

  • 这样的病毒是直接远程连接redis,一般redis都是root安装的,连接redis也就掌握了root权限,它可以往你的定时任务里写内容。

  • 中这样的病毒大多都是因为redis没有设置密码,存在着很大的安全漏洞,所以大家要设置redis密码,并且更改redis的端口。安装时最好别用root安装。
  • 查了些资料看有人说这是在挖币,wnTKYg是门罗币,所以大家要注意服务器的安全,别让自己的资源让别人用来挣钱。

 

阿里云服务器报 Liunx异常文件下载处理办法

标签:cal   守护进程   tabs   root   abs   漏洞   cpu   问题总结   文件夹   

原文地址:https://www.cnblogs.com/killall007/p/8877294.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!