参考文档:https://blog.netlab.360.com/ddg-mining-botnet-jin-qi-huo-dong-fen-xi/
我现在的情况就是把能删的都删了。目前来看没有再出现。
无人访问时CPU也一直保持75%,然后在xShell上top了一下,发现wnTKYg这个程序CPU占用率300%,
1.猜测是因为redis的空子 ,redis进行了配置上的修改:
① 把默认的端口号6379给改了
② 把密码改的更复杂了
③ 把bind xx.xx.x.x xx.xx.xx.xx改了
2.查看 /root/.ssh 下的文件,在/root/.ssh/known_hosts中删除不认识的IP或者把 /root/.ssh 下的文件都删除
3.执行命令 find / -name wnTKYg*,只有/tmp下有这个文件,删了
然后就去kill wnTKYg 然后top观察进行变化, 有一个/tmp/ddg.1007进程 是挖矿工的守护进程,用ps -aux|grep ddg命令把所有ddg进程找出来杀掉,并删除/tmp目录下的所有的对应ddg文件
有的会有个定时任务下载这些东西,目录 /var/spool/cron,记得留意这个文件夹,如果遇到,就把它干掉。
首先关闭挖矿的服务器访问
iptables -A INPUT -s xmr.crypto-pool.fr -j DROP
iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP
然后删除yam 文件 用find / -name yam查找yam 文件 找到wnTKYg 所在目录 取消掉其权限 并删除 然后再取消掉 tmp 的权限并删除 之后 pkill wnTKYg就OK了。
