wnTKYg进程发现
*
执行top
会发现此进程。
wnTKYg应该是利用 redis 漏洞入侵,加了定时任务,每一段时间向固定地址发送请求,执行挖矿程序后导致 cpu 和带宽升高, kill 进程会自动重启。
* 检查authorized_keys、known_hosts文件 [root@zfr ~]# cd /root/.ssh [root@zfr ~]#
cat authorized_keys [root@zfr ~]# cat known_hosts
看看是否登录了我的帐号,我在这两个文件中没有发现我不认识的IP,于是我就放过了这两个文件。
* 查找挖矿进程
其次,我想找一下这个病毒存在的路径。执行了个命令:
find / -name wnTKYg*
或者在top下,按C 就可以显示这个路径了。
发现这个wnTKYg 的程序在/tmp 下。
处理挖矿病毒
直接kill掉这个进程,发现没到2分钟,又发现他重启了。于是猜是否有守护进程存在。
继续观察top以及和/tmp路径下的文件进行对比。发现了有ddg.2003、ddg.2004
两个陌生的程序。于是判断这两个可能为守护进程文件。清除后发现隔几分钟又会重新启动。我猜想可能会有定时任务。
* 检查定时任务
排查了第一个定时任务的地址:
vi /etc/crontab
发现里面只有我自己设置的定时任务。
我就把全文搜索了下crontab
find / -name crontabs find / -name crontab
于是我又发现了一个路径/var/spool/cron 非常可疑!
* 查看文件
我先看了下root文件
/var/spool/cron/crontabs文件夹下的root文件
都做了一个定时任务,向一个固定的IP下载一个i.sh的脚本.
我用浏览器访问了下这个IP:
发现里面有病毒和几个脚本。
下载了这个i.sh这个脚本。
就是把定时任务加到对应的目录文件。定时从某IP下载脚本,给守护进程文件加上执行权限。
我搜索了下find / -name i.sh 但是并没有找到这个脚本。我把这两个root文件里面的定时任务都给注释掉了。
因为我不知道这个程序是不是通过扫描/var/spool/cron/crontabs 这个路径,来创建定时任务的,所以没有把它删除掉,只是禁掉了。
结果
我再kill掉这个病毒的进程和守护进程,并且把/tmp路径下的对应的程序删除掉。
观察了top一段时间,发现此病毒暂时没有复发。