解决阿里云服务器被入侵挂上了wnTKYg挖矿程序办法

阿里云报警情况:

原因:

 病毒通过redis漏洞入侵了服务器,并且安装运行了挖矿机程序

第一步:先停掉redis服务进程

第二步:杀掉病毒进程和删除病毒文件

1:执行top命令,发现wnTKYg竟然占用了99.9%的CPU

2:进入/tmp目录下,会看到有如下两个文件,删除/tmp下所有文件后kill -9 wnTKYg PID

3:记得也把这个ddg.2020进程也给kill掉,要不然这个会执行定时任务重新生成并运行挖矿程序

4:最后删除下 /var/spool/cron(定时任务)下的文件

5: 进入/root/.ssh 查看该目录下的文件是否被修改过,vim去掉被添加的内容

修改redis 配置

  - 修改端口号  - 修改密码  - 修改bind IP

wnTKYg样本：http://pan.baidu.com/s/1eRKGarg 密码：4768  参考博客:http://blog.sina.com.cn/s/blog_c08907b10102wyyl.html(清除wnTKYg 这个挖矿工木马的过程讲述