CentOS7清除wnTKYg木马
2017-08-28 13:53:14    8    0    0
alen

今天偶然发现服务器cpu占用率一直是100%,top查看了发现是一个名为wnTKYg的进程。

网上查找说是一个挖矿木马,清理之后做个记录。

木马如下图:


尝试pkill -9 wnTKYg杀死进程,发现没过多久又出现了

感觉好恶心,中毒原因应该是Redis没有设密码或者是弱口令,先关了redis防止再次中招

systemctl stop redis

接下来

如果/root/.ssh/下有异常文件或记录:rm -rf  /root/.ssh/*

查找wnTKYg进程目录:find / -name wnTKYg*

删除wnTKYg进程文件:rm -rf  /tmp/wnTKYg

查找wnTKYg守护进程目录:ps -aux|grep ddg

删除wnTKYg守护进程文件,文件后缀可能不同:rm -rf  /tmp/ddg.1009

删除可疑文件:

rm -rf /tmp/Aegis-\<Guid5A2C30A2A87D490A92816765EDAD7CBA\> 

rm -rf /usr/local/aegis/Aegis-\<Guid5A2C30A2A87D490A92816765EDAD7CBA\> 

删除wnTKYg定时任务:rm -rf /var/spool/cron

检查是否存在残留文件并清理...

杀进程:

pkill -9 wnTKYg

pkill -9 ddg.1009

ps x 或 top 查看是否还有木马进程

到此应该已经清理完毕

参考博客:

http://blog.sina.com.cn/s/blog_c08907b10102wyyl.html

http://blog.csdn.net/qq_35263061/article/details/61942801

http://blog.csdn.net/my8611051316/article/details/60571779

Pre: walle-web部署工具,适合懒人们使用. 根据php docker官方Dockerfile配置修改,有问题可以反馈给我.

Next: wdcp 安装redis

8
Sign in to leave a comment.
No Leanote account? Sign up now.
0 comments
Table of content