服务器挖矿又出新服务 wnTKYg

最新推荐文章于 2025-09-11 02:58:47 发布
原创 最新推荐文章于 2025-09-11 02:58:47 发布 · 1.3w 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文记录了一次挖矿程序入侵Redis服务器事件,攻击者利用未保护的Redis端口部署了挖矿软件wnTKYg,不同于以往的是此次攻击并未完全耗尽服务器资源。文中详细介绍了入侵迹象及一套应急响应流程。

wnTKYg同minerd和AnXqV两个一样都是挖矿程序。

一台服务器安装的redis3.2.8(6379端口)的版本,今天发现还是被挖矿,这次和之前的不同服务器的CPU资源没被耗到98%,而是一直维持在70%。同IP端内的另一台服务器redis3.2.8(6000端口)的机器目前没有被挖矿,继续监控中。

临时解决方法跟之前一样。

1、关闭访问挖矿服务器的访问iptables -I INPUT -s www.bdyutiudwj.com -j DROP;iptables -A OUTPUT -d www.bdyutiudwj.com -j DROP

2、找到minerd程序:find / -name wnTKYg

3、去掉执行权限:chmod -x wnTKYg

4、杀掉进程:pkill wnTKYg

5、清除定时任务:在 /var/spool/cron 下的文件直接删除

6、清除文件:除了opt下面的两个异常文件需要清除,/tmp文件夹下也有文件需要清除,Aegis-<Guid(5A2C30A2-A87D-490A-9281-6765EDAD7CBA)>   AnXqV   ddg.217   ddg.218   ddg.219   duckduckgo.12.log   duckduckgo.17.log   duckduckgo.18.log   duckduckgo.19.log

MY-1986
关注
挖矿木马攻破了服务器
中年程序员一枚的博客
08-09 1673
systemctl status 6058 # 6058为病毒的PID。然后干掉,或者权限屏蔽等都可以,只要不执行,就没有危险!过一分钟后,服务又开始狂刷cpu。最近被国外的挖矿木马攻破了服务器。#top 看看什么占用cpu高。第四步根据pid查到服务地址。#last指令查看登录ip。第三步杀死狂刷CPU的服务
代理服务器:转发代理和反向代理是如何工作的?
网易搬砖头
04-02 6万+
这意味着如果多个用户请求相同的内容,代理可以从其缓存中提供该内容,而不是每次都从外部服务器获取内容,从而缩短加载时间并减少带宽。客户端向特定网址发送请求,反向代理将该请求转发到其背后的适当服务器。:关心隐私的个人可能会使用转发代理来隐藏他们访问的网站的 IP 地址和其他识别信息,从而难以跟踪他们的 Web 浏览活动。:它们将传入的网络流量分布在多个服务器上,确保没有任何一台服务器获得过多的负载,并防止任何服务器成为瓶颈。本质上,它接收来自客户端的请求,将其转发到相关服务器,然后将服务器的响应返回给客户端。
清除wnTKYg 这个挖矿工木马的过程讲述
u010789532的博客
04-23 9501
由于工作需要,我由一个专业java开发工程师,渐渐的也成为了不专业的资深的运维工程师了。感慨一番,书归正传,下面就讲解wnTKYg如何清除。最近项目在做性能测试,发现CPU使用率异常,无人访问时CPU也一直保持75%,然后在xShell上top了一下,发现wnTKYg这个程序CPU占用率300%, 这个挖矿工木马的过程讲述" title="清除wnTKYg 这个挖矿工木马的过程讲述" style
cpu占用高程序 wnTKYg
feiteyizu
03-13 202
服务器 linux top命令查看  wnTKYg占用cpu  700%:   wnTKYg同minerd和AnXqV两个一样都是挖矿程序。 一台服务器安装的redis3.2.8(6379端口)的版本,今天发现还是被挖矿,这次和之前的不同服务器的CPU资源没被耗到98%,而是一直维持在70%。同IP端内的另一台服务器redis3.2.8(6000端口)的机器目前没有被挖矿,继续监控中。 ...
AEGIS:libsodium中下一代高性能认证加密算法的崛起
最新发布
gitblog_01024的博客
09-11 367
在当今数字化时代,数据安全已成为各行各业不可或缺的核心需求。随着数据传输量的爆炸式增长和计算设备性能的不断提升,传统加密算法在性能和安全性之间的平衡正面临严峻挑战。libsodium作为一款现代化、跨平台、易用的加密库,率先引入了AEGIS系列算法,为解决这一难题提供了全新的解决方案。 [![项目logo](https://raw.gitcode.com/gh_mirrors/li/libsod...
近期 wnTKYg Linux 恶意软件简介
坚持
11-24 550
source : ddg.2020 1.下载配置数据库,用来攻击其他电脑; 2.从配置中获取http服务器,下载i.sh的脚本, 3.将将脚本插入到系统的cron中,定时执行; 4.执行脚本,将挖矿程序下载到本地,开始挖矿; 自身从几个域名中获取站点( copy from my file: /etc/hosts ), 127.0.0.1  ident.me 127.0.0.
linux常用命令
Wewon_real的博客
12-06 291
1、查看名字含“aegis”的进程是否存在:ps -ef|grep aegis 2、在根目录下查找文件httpd.conf,表示在整个硬盘查找:find / -name httpd.conf
minerd和wnTKYg进程(病毒)--被攻击CPU占用率达到100%
sylalak123的博客
01-08 566
今天登录服务器感觉服务器特别的慢。结果查看发现有两个进程占用CPU100%了,一个是minerd一个是wnTKYg。如果大家遇到请小心。 查看服务器各个程序占用资源量 [root@iZ2zeayj54m6qs0689jm ~]# top PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND ...
记录一次服务器被拿去挖矿的经历
努力就有收获
10-20 2329
服务器被刷了? 最近阿里云总是提示各种风险,只是简单处理,没太在意。 今天想读取服务器的一个 静态文件,总是失败,偶尔成功一两次,连接阿里云服务器也总是挂,一度怀疑公司网络的问题,然后通过远程打包的时候也挂了一次,说明肯定是服务器有问题了。 回家发现是 Yapi 的一个漏洞导致会被挖矿,于是赶紧禁用 Yapi 的相关服务。 怀疑可能有残留文件,那就得好好查查。首先根据阿里云报警信息里面的文件路径排查,该删除的删除。 1. 排查到一例: 根据这个地址排查到,这是猫池,进而得到他的偷窃钱包地址。 猫池地址:h
如何用个人电脑搭建一台本地服务器,并部署云原生开发工具TitanIDE到服务器详细教程
热门推荐
weixin_53937255的博客
04-12 6万+
本文详细阐述了如何使用个人电脑搭建一台本地服务器,并成功部署项目到服务器的全过程。教程首先介绍了服务器的基本概念和作用,强调了本地服务器在项目开发、测试及学习过程中的重要性。接着,详细讲解了服务器搭建的硬件和软件要求,包括选择合适的操作系统、配置网络环境以及安装必要的服务器软件等步骤。
运维:mysql常用的服务器状态命令
IT技术分享社区
10-22 2845
以上是一些常用的服务器状态运行命令,大家如果还有比较常用的命令欢迎补充交流!
CentOS7清除wnTKYg木马
紫眸的博客
06-11 6762
今天偶然发现服务器cpu占用率一直是100%,top查看了发现是一个名为wnTKYg的进程。 网上查找说是一个挖矿木马,清理之后做个记录。 木马如下图: 尝试pkill -9 wnTKYg杀死进程,发现没过多久又出现了 感觉好恶心,中毒原因应该是redis没有设密码或者是弱口令,先关了redis防止再次中招 systemctl stop redis 接下来 如果/root/.
阿里云CentOS7.2清除wnTKYg木马
木头若愚
11-07 1944
最近发现阿里云CPU占用很高,一直是100%,重启之后降下来了,但过一会又100%。 用top命令查了一下,发现是wnTKYG进程占用了99.9%,百度了一下wnTKYG说是一个挖矿木马,中毒原因应该是redis没有设密码或者是弱口令。 先关了redis防止再次中招 systemctl stop redis_6379 接下来 如果/root/.ssh/下有异常文件或记录:rm -
阿里云服务器挖矿程序minerd入侵的终极解决办法
Java高知社区
01-06 4万+
突然发现阿里云服务器CPU很高,执行 top 一看,有个进程minerd尽然占用了200%多的CPU, 百度了一下,查到几篇文章都有人遇到同样问题,解决的办法:http://blog.csdn.net/hu_wen/article/details/51908597 但我去查看启动的服务,尽然没有 lady 这个服务。 找不到根源,那个minerd进程删掉就又起来了,后来想了个临时办法,先停掉
服务器挖矿后如何排查处理
琪琪的博客
08-07 1万+
挖矿会使服务器硬件资源,如:CPU、内存消耗极大
服务器被植入挖矿程序
Fight_Rain的博客
06-11 6417
在阿里云管控台看到有两台服务器cpu使用率一直在100左右,而平时只有不到1 解决1: 连到服务器,top命令发现wipefs进程占用大量cpu资源,先kill掉该进程,再删除一些文件,具体参考https://www.cnblogs.com/liuchuyu/p/7490338.html,删除时可能遇到Operation not permitted,一般是文件属性为 —i———-,先cha...
阿里云aegis服务脚本
My Notes
01-05 1万+
#!/bin/bash #chkconfig: 2345 80 05 #description: aegis service AEGIS_INSTALL_DIR="/usr/local/aegis" if [ `id -u` -ne "0" ]; then     echo "ERROR: Permission denied." 1>&2     exit 1 fi
阿里云ECS遭挖矿程序攻击解决方法(彻底清除挖矿程序,顺便下载了挖矿程序的脚本)
NicolasLearner的博客
07-22 5783
一:杀死挖矿程序进程 在服务器上使用top指令查看cpu的使用情况,发现有一个叫java的程序占用cpu高达99.9% PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 5778 root 20 0 373576 2720 404 S 99.9 0.1 1252:00 java
【转】服务器挖矿病毒的排查过程
05-25
服务器挖矿病毒是指黑客通过入侵服务器,利用服务器的计算资源进行加密货币挖矿。这种病毒的存在会导致服务器性能下降,甚至导致服务器崩溃。以下是排查服务器挖矿病毒的过程。 1. 检查CPU和内存使用率 服务器挖矿病毒会占用服务器的大量计算资源,导致CPU和内存使用率异常升高。通过检查系统监视器或者运行top命令,可以查看当前的CPU和内存使用率,如果发现异常升高,则很可能是服务器挖矿病毒导致的。 2. 检查网络流量 服务器挖矿病毒需要与矿池进行通信,因此会产生大量的网络流量。通过检查网络监视器或者运行iftop命令,可以查看当前的网络流量,如果发现异常升高,则很可能是服务器挖矿病毒导致的。 3. 检查进程列表 服务器挖矿病毒会在服务器上运行挖矿程序,因此会在进程列表中留下痕迹。通过运行ps命令,可以查看当前的进程列表,如果发现有可疑的进程,则很可能是服务器挖矿病毒导致的。 4. 检查系统日志 服务器挖矿病毒会在服务器上留下痕迹,因此可以通过检查系统日志来发现异常行为。通过查看/var/log/auth.log、/var/log/syslog等系统日志文件,可以查找异常登录或者异常命令执行的记录,如果发现可疑行为,则很可能是服务器挖矿病毒导致的。 5. 检查防火墙日志 服务器挖矿病毒需要与矿池进行通信,因此需要打开服务器的防火墙端口。通过检查防火墙日志,可以查看服务器上的网络连接情况,如果发现与矿池的连接,则很可能是服务器挖矿病毒导致的。 以上是排查服务器挖矿病毒的基本过程,如果发现服务器确实感染了挖矿病毒,则需要及时采取措施清除病毒,并加强服务器的安全防护措施,避免类似的攻击再次发生。
评论 15
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值