挖矿病毒处理记录「建议收藏」

大家好，又见面了，我是你们的朋友全栈君。

wnTKYg进程发现

• 执行top

会发现此进程。

wnTKYg应该是利用 redis 漏洞入侵，加了定时任务，每一段时间向固定地址发送请求，执行挖矿程序后导致 cpu 和带宽升高， kill 进程会自动重启。

• 检查authorized_keys、known_hosts文件

[root@zfr ~]# cd /root/.ssh

[root@zfr ~]# cat authorized_keys 

[root@zfr ~]# cat known_hosts

看看是否登录了我的帐号，我在这两个文件中没有发现我不认识的IP，于是我就放过了这两个文件。

• 查找挖矿进程

其次，我想找一下这个病毒存在的路径。执行了个命令：

find / -name wnTKYg*

或者在top下，按C 就可以显示这个路径了。

发现这个wnTKYg 的程序在/tmp 下。

处理挖矿病毒

直接kill掉这个进程，发现没到2分钟，又发现他重启了。于是猜是否有守护进程存在。

继续观察top以及和/tmp路径下的文件进行对比。发现了有ddg.2003、ddg.2004 两个陌生的程序。于是判断这两个可能为守护进程文件。清除后发现隔几分钟又会重新启动。我猜想可能会有定时任务。

• 检查定时任务

排查了第一个定时任务的地址：

vi /etc/crontab

发现里面只有我自己设置的定时任务。

我就把全文搜索了下crontab

find / -name crontabs   find / -name crontab

于是我又发现了一个路径/var/spool/cron 非常可疑！

• 查看文件

我先看了下root文件

/var/spool/cron/crontabs文件夹下的root文件

都做了一个定时任务,向一个固定的IP下载一个i.sh的脚本.

我用浏览器访问了下这个IP：

发现里面有病毒和几个脚本。

下载了这个i.sh这个脚本。

就是把定时任务加到对应的目录文件。定时从某IP下载脚本，给守护进程文件加上执行权限。

我搜索了下find / -name i.sh 但是并没有找到这个脚本。我把这两个root文件里面的定时任务都给注释掉了。

因为我不知道这个程序是不是通过扫描/var/spool/cron/crontabs 这个路径，来创建定时任务的，所以没有把它删除掉，只是禁掉了。

结果

我再kill掉这个病毒的进程和守护进程，并且把/tmp路径下的对应的程序删除掉。

观察了top一段时间，发现此病毒暂时没有复发。

发布者：全栈程序员栈长，转载请注明出处：https://javaforall.cn/136325.html原文链接：https://javaforall.cn