CentOS7清除wnTKYg木马

最新推荐文章于 2023-07-25 16:26:38 发布
最新推荐文章于 2023-07-25 16:26:38 发布
阅读量613 收藏
点赞数
分类专栏: linux指令

转自:http://blog.csdn.net/zimou5581/article/details/73064878

今天偶然发现服务器cpu占用率一直是100%,top查看了发现是一个名为wnTKYg的进程。

网上查找说是一个挖矿木马,清理之后做个记录。

木马如下图:


尝试pkill -9 wnTKYg杀死进程,发现没过多久又出现了

感觉好恶心,中毒原因应该是redis没有设密码或者是弱口令,先关了redis防止再次中招

systemctl stop redis

接下来

如果/root/.ssh/下有异常文件或记录:rm -rf  /root/.ssh/*

查找wnTKYg进程目录:find / -name wnTKYg*

删除wnTKYg进程文件:rm -rf  /tmp/wnTKYg

查找wnTKYg守护进程目录:ps -aux|grep ddg

删除wnTKYg守护进程文件,文件后缀可能不同:rm -rf  /tmp/ddg.1009

删除可疑文件:

rm -rf /tmp/Aegis-\<Guid 5A2C30A2A87D490A92816765EDAD7CBA \> 

rm -rf /usr/local/aegis/Aegis-\<Guid 5A2C30A2A87D490A92816765EDAD7CBA \> 

删除wnTKYg定时任务:rm -rf /var/spool/cron

检查是否存在残留文件并清理...

杀进程:

pkill -9 wnTKYg

pkill -9 ddg.1009

ps x 或 top 查看是否还有木马进程

到此应该已经清理完毕


Jacob-wj
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Centos7中病毒排查[tsm][kswapd0]
weixin_45552912的博客
02-24 431
看一下主机的资源使用情况 先按照腾讯云文档给的建议走走 腾讯云文档url:https://cloud.tencent.com/document/product/296/9604 == last 命令无异常 less /var/log/secure|grep ‘Accepted’ 查了一个ip,为美国的 看来是被攻击了,还是用root ssh上来的。----可能我的root密码太简单了吧 找找病毒在哪里 netstat -ntlp 貌似没啥问题呢 netstat -antlp 7. 在这里看到了..
Centos7下安装MongoDB
08-24
Centos7下安装MongoDB
Linux系统管理----centos7系统进程管理
热门推荐
m0_57911290的博客
03-06 3万+
目录 一、进程概念 1.进程组成部分: 2.僵尸进程: 3.线程: 4.上下文切换: 5.中断处理: 6.进程的属性 二、ps查看进程工具 1.-aux弹出消息及详解 2、linux进程有5种基本状态 三、free 查看内存使用情况 1.弹出消息及详解: 三、uptime 查看系统负载 1.弹出消息含意如下: 四、top 命令 动态性能分析工具 1.每行信息 2.top 快捷键: 五、lsof 命令 用于查看你进程调用、打开的文件 六、kill 关闭进程 1)ki
阿里云服务器报 Liunx异常文件下载处理办法
weixin_30810583的博客
04-18 249
阿里云服务器报 Liunx异常文件下载、挖矿进程、SSH远程非交互式一句话异常指令执行 1、删除crontab里面的自启动脚本 2、删除authorized_keys 里面密匙 3、删除#/var/spool/cron下的自启动脚本,root和crontabs 4、删除/etc/crontab 里面的自启动脚本 5、进如/tmp目录下,删除wnTKYg、ddg.2020文件并停...
centos7系统被入侵,挂载挖矿木马-pamdicks-(1)临时处理
ntgengyf的博客
07-25 437
根据隐藏进程以及隐藏文件不可见的特性,进行搜索分析,得出系统内核被篡改,将文件名称和进程信息给屏蔽。以后得加强注意这三方面的安全问题,本次木马程序并未涉及文件防篡改配置,不然也只能重装系统进行处理了。开发使用过程中,发现经常有服务无故关闭,登录服务器经检查,发现CPU使用率达到100%。删除原文件,并创建一个顶包空文件,然后使用系统chattr对其进行锁定禁止修改。及文件删除,但是重启后又自行恢复,还有其他机器,也经过一夜,死灰复燃了。用户直接启动,导致内核被修改,问题难度复杂化。
CentOS 7 查看和控制进程
xgocn的专栏
04-24 4074
一、查看进程 了解系统中的进程状态是对进程进行管理的前提,使用不同的命令可以从不同的角度查看进程状态。 1、ps命令 ps命令是Linux系统中最为常见用的进程查看工具,主要用于显示包含当前运行的各进程完整信息的静态快照。通过不同的选项,可以有选择的查看进程信息。 a : 显示当前终端下的所有进程信息,包括其他用户的进程 u :以用户为主的进程状态 x :通常与 a 这个参数一起使用,显示当前用户在所有终端下的进程信息 -e:显示系统内所有的进程信息 -l :使用长格式显示进程信息 -f :使用完整的...
Centos7/8 kdevtmpfsi病毒处理
weixin_42366275的博客
12-17 674
问题描述: top命令查看,资源被kdevtmpfs占满,导致云服务器大量服务被关 原因分析: 一般都是redis不安全被入侵,建议设置密码,不允许外网访问,因为redis一般是后端使用,后端使用如jar包,jar包访问完全在redis本机访问,访问地址让后端写127.0.0.1即可,或者配置文件在bind选项里面指定访问ip,具体配置看我之前redis教程修改配置文件项即可 解决方案: crontab -r # 清除定时任务 ps -aux |grep kdevtmpfsi |grep -v gr
linux服务器Centos7中病毒记录
on the way . . .
03-23 2584
Background 用的华为的弹性云服务器,直到这一次,之前已经出现过三四次,想到这一次也不会是最后一次,记录下,防止因为同样的问题再次中毒。 1、2022-03-23 中毒后部分系统命令不能用。有的能用的也会夹杂一些其他的错误信息。 ERROR: ld.so: object '/usr/local/lib/uncompress.so' from /etc/ld.so.preload cannot be preloaded: ignored. 中毒效果图 症状分析 由上图可以看出,加载/
centos7安装slurm21.08
04-27
非常详细的搭建步骤,包含了数据库配置,历史作业查询功能,gpu调用等方面的配置 1. 修改主机名字 hostnamectl set-hostname master(主机名) 2关闭 Firewall # systemctl stop firewalld.service ...
centos7 nfs离线安装包
03-25
centos7 nfs离线安装包
centos7离线安装vim
11-22
centos7离线安装vim
CentOS7.vmdk
06-15
CentOS7.vmdk
centos7 运维之恶意进程
平头哥(Adger)的博客
02-18 1395
有时候服务器上会莫名奇妙出现一些进程占用极高cpu,导致服务器满负载,解决方式如下: 1. 使用top明亮查看服务器资源现状 2 查询进程信息: 命令: ll /proc/进程id 3. 删除执行文件并kill 进程 ...
一次centos7.3系统中病毒排查经历
Focus on k8s and python
09-05 8866
      一个环境,突然使用很卡顿,于是用top查看什么进程占用了资源,发现进程中有大量b开头的进程,基本确定系统是中病毒了。 如上图,top显示大量b开头进程,进程号还不停的变。快速用lsof -p &lt;PID&gt;,查看一个病毒进程,结果如下 lsof的输出来看,病毒进程程序体被删除了。尝试用rm去删除程序体也显示无文件。 于是用ps命令查看进程情况,竟然发现无法列出...
netstat查看端口占用情况
o544033135的博客
09-27 528
netstat -anp netstat -tpl 参数解析 | 参数 | 含义 | |–|--| | a | all | | n | numeric | | p | programes | | t | tcp | | l | listen | $ netstat --help usage: netstat [-veenNcCF] [] -r netstat {-V|–version|-h|–help} netstat [-vnNcaeol] [ …] netstat { [-vee..
Linux运维之解决服务器挖矿木马问题
上善若泪
01-25 1799
挖矿木马会占用CPU进行超频运算,从而占用主机大量的CPU资源,严重影响服务器上的其他应用的正常运行。黑客为了得到更多的算力资源,一般都会对全网进行无差别扫描,同时利用SSH爆破和漏洞利用等手段攻击主机。部分挖矿木马还具备蠕虫化的特点,在主机被成功入侵之后,挖矿木马还会向内网渗透,并在被入侵的服务器上持久化驻留以获取最大收益。
近期 wnTKYg Linux 恶意软件简介
坚持
11-24 456
source : ddg.2020 1.下载配置数据库,用来攻击其他电脑; 2.从配置中获取http服务器,下载i.sh的脚本, 3.将将脚本插入到系统的cron中,定时执行; 4.执行脚本,将挖矿程序下载到本地,开始挖矿; 自身从几个域名中获取站点( copy from my file: /etc/hosts ), 127.0.0.1  ident.me 127.0.0.
框架搭建内容合成的描述
最新发布
04-19
框架搭建内容合成的描述
centos7清除history命令
09-07
清除CentOS 7上的命令历史记录,您可以使用以下两种方法之一: 方法1:使用history命令 1. 打开终端窗口。 2. 输入以下命令以清除当前会话的命令历史记录: ``` history -c ``` 3. 输入以下命令以将更改写入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值