wnTKYg进程发现

*
执行top

会发现此进程。

wnTKYg应该是利用 redis 漏洞入侵,加了定时任务,每一段时间向固定地址发送请求,执行挖矿程序后导致 cpu 和带宽升高, kill 进程会自动重启。

* 检查authorized_keys、known_hosts文件 [root@zfr ~]# cd /root/.ssh [root@zfr ~]#
cat authorized_keys  [root@zfr ~]# cat known_hosts

看看是否登录了我的帐号,我在这两个文件中没有发现我不认识的IP,于是我就放过了这两个文件。

* 查找挖矿进程
其次,我想找一下这个病毒存在的路径。执行了个命令:
find / -name wnTKYg*
或者在top下,按C 就可以显示这个路径了。

发现这个wnTKYg 的程序在/tmp 下。

处理挖矿病毒

直接kill掉这个进程,发现没到2分钟,又发现他重启了。于是猜是否有守护进程存在。

继续观察top以及和/tmp路径下的文件进行对比。发现了有ddg.2003、ddg.2004
两个陌生的程序。于是判断这两个可能为守护进程文件。清除后发现隔几分钟又会重新启动。我猜想可能会有定时任务。

* 检查定时任务
排查了第一个定时任务的地址:
vi /etc/crontab

发现里面只有我自己设置的定时任务。

我就把全文搜索了下crontab
find / -name crontabs   find / -name crontab
于是我又发现了一个路径/var/spool/cron 非常可疑!

* 查看文件
我先看了下root文件

/var/spool/cron/crontabs文件夹下的root文件

都做了一个定时任务,向一个固定的IP下载一个i.sh的脚本.

我用浏览器访问了下这个IP:

发现里面有病毒和几个脚本。

下载了这个i.sh这个脚本。

就是把定时任务加到对应的目录文件。定时从某IP下载脚本,给守护进程文件加上执行权限。

我搜索了下find / -name i.sh 但是并没有找到这个脚本。我把这两个root文件里面的定时任务都给注释掉了。

因为我不知道这个程序是不是通过扫描/var/spool/cron/crontabs 这个路径,来创建定时任务的,所以没有把它删除掉,只是禁掉了。

结果

我再kill掉这个病毒的进程和守护进程,并且把/tmp路径下的对应的程序删除掉。

观察了top一段时间,发现此病毒暂时没有复发。

 

 

技术
今日推荐
下载桌面版
GitHub
百度网盘(提取码:draw)
Gitee
云服务器优惠
阿里云优惠券
腾讯云优惠券
华为云优惠券
站点信息
问题反馈
邮箱:[email protected]
QQ群:766591547
关注微信