阿里云服务器报 Liunx异常文件下载处理办法

最新推荐文章于 2021-05-03 05:08:57 发布
最新推荐文章于 2021-05-03 05:08:57 发布
阅读量260 收藏
点赞数
文章标签: 数据库 运维
原文链接:http://www.cnblogs.com/killall007/p/8877294.html
版权

阿里云服务器报 Liunx异常文件下载、挖矿进程、SSH远程非交互式一句话异常指令执行

1、删除crontab里面的自启动脚本

2、删除authorized_keys 里面密匙

3、删除#/var/spool/cron下的自启动脚本,root和crontabs

4、删除/etc/crontab 里面的自启动脚本

5、进如/tmp目录下,删除wnTKYg、ddg.2020文件并停掉进程,删除Aegis- 开头的文件夹

6、删除#rm -rf /usr/local/aegis/Aegis-\<Guid5A2C30A2−A87D−490A−9281−6765EDAD7CBA\> 文件

 

阿里云服务器报 Liunx异常文件下载、挖矿进程、SSH远程非交互式一句话异常指令执行,经排查为wnTKYg病毒,具体修复步骤如下:
  • 通过#top -c排查CPU占内存很高的进程
  • 19146 root      20   0  236236   5200   1024 S  99.7  0.1   9518:01 /tmp/wnTKYg
  • 删除#/var/spool/cron下的自启动脚本,root和crontabs
  • 通过进程查看到该文件目录为 /tmp下,删除wnTKYg并杀进程,但是4S后还会自启动,经过排查应该还有守护进程,在/tmp 目录下找到ddg.2020文件,删除该文件并停掉ddg.2020进程
  • 删除#rm -rf /usr/local/aegis/Aegis-\<Guid5A2C30A2−A87D−490A−9281−6765EDAD7CBA\>    文件
  • 重新检查wnTKYg和ddg.2020进程是否存在

 

  • 问题总结

  • 这样的病毒是直接远程连接redis,一般redis都是root安装的,连接redis也就掌握了root权限,它可以往你的定时任务里写内容。

  • 中这样的病毒大多都是因为redis没有设置密码,存在着很大的安全漏洞,所以大家要设置redis密码,并且更改redis的端口。安装时最好别用root安装。
  • 查了些资料看有人说这是在挖币,wnTKYg是门罗币,所以大家要注意服务器的安全,别让自己的资源让别人用来挣钱。

 

转载于:https://www.cnblogs.com/killall007/p/8877294.html

weixin_30810583
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
阿里云Liunx服务器开启新端口
01-07
配置阿里云安全组 准备工作: 登陆阿里云后台,点击左上角菜单,选择云服务器。 选择实例 选择安全组 选择配置规则 添加安全组规则 注: 端口范围填写 xx/xx,可填写范围(80/8080),也可填写(8080/8080)。填写...
记录Linux下载文件的一个问题
pasco152的博客
08-17 146
FileZilla是一个功能强大的文件上传下载工具,可以把window系统和linux系统连接起来 或者在MobaXterm上用 yum install lrzsz 远程进行安装 这时候就出现问题了,找了大概一个小时,找到根因了 CentOS 6已经随着2020年11月的结束进入了EOL(Reaches End of Life),不过有一些老设备依然需要支持,CentOS官方也给这些还不想把CentOS6扔进垃圾堆的用户保留了最后一个版本的镜像,只是这个镜像不会再有更新了 官...
Python调用系统命令的方法
u012967763的专栏
03-10 330
1、os.system >>> import os >>> os.system("ls /tmp") 'Aegis-<Guid(5A2C30A2-A87D-490A-9281-6765EDAD7CBA)>' aliyun_assist_37d3b524ccb1e5a4d7b7e65c04d5711b.zip systemd-private-e409eeddae5a487c98ba5e177d72b3dc-chronyd.service-aphktJ
linux中压缩解压缩命令
qq_35382207的博客
12-23 712
目录 gzip gunzip tar(打包压缩) tar(解包解压) zip unzip bzip2 bunzip2 gzip 解释 命令名称:gzip 命令英文原意:GUN zip 命令所在路径:/bin/gzip 执行权限:所有用户 功能描述:压缩文件 语法 # 压缩后文件格式.gz gzip [文件] 示例 # 压缩文件 gzip /tmp/services [root@izm5e2q95pbpe1hh0kkwoiz ~]# ls /tmp Aegis-<Guid(5A2C30A...
Linux操作系统网络学习 之 netstat 查看网络连接,路由表,网卡接口状态 ,进程信息
xiaoliuliu2050的专栏
12-22 1984
Netstat 命令用于显示各种网络相关信息, 如网络连接,路由表,网卡接口状态 ,masquerade 连接,多播成员 (Multicast Memberships) 等等。 输出信息含义 举例: netstat -l 看正在监听的连接: netstat -ln 看正在监听的连接,并且可以把域名转化为数字 输出结果: Active Internet connections (o...
linux yundun进程,yundun.sh
weixin_39606048的博客
05-03 148
#!/bin/bash#check linux Gentoo osvar=`lsb_release -a | grep Gentoo`if [ -z "${var}" ]; thenvar=`cat /etc/issue | grep Gentoo`fiif [ -d "/etc/runlevels/default" -a -n "${var}" ]; thenLINUX_RELEASE="GEN...
liunx云的复习文档
06-20
liunx云的复习文档
redis的阿里云Liunx包装包和配置文件
01-13
阿里云Linux环境下安装和配置Redis,可以极大地提升应用的响应速度和处理能力。以下是关于Redis在Linux环境中安装、启动、使用及集群配置的关键知识点。 一、安装单机版Redis 1. 更新系统软件源:首先确保系统...
使用java实现的linux和ftp服务器文件上传下载工具
08-03
这是我使用java实现的linux和ftp服务器文件上传下载工具,需要电脑安装jdk8, 启动命令,java -jar linuxAndFtp.jar 启动成功后,浏览器访问:http://localhost:9999 服务器的账号密码通过服务器列表页面管理,添加的...
ARM架构服务器liunx/euler操作系统抓包文件
最新发布
06-17
ARM架构服务器liunx/euler操作系统抓包文件。 亲测euler系统可用。
记一次服务器被挖矿程序占用的解决过程
热门推荐
dabao87的博客
07-31 1万+
公司有台做voip的服务器最近CPU总是跑满,这机器自从交给厂家搭好环境后基本就没怎么管它,于是进去查看进程,top了下(见下图) 这个叫wnTKYg的进程很诡异,已经把CPU吃光了,上网一查,原来是中了挖矿的马。(啊,我的天。这只是一个单核1G内存的阿里云主机)既然被***了,那就得干掉它,下面是解决过程: 1:第一步要先找到这个wnTKYg文件实体,对了还有一个叫ddg.2020的进程。 ...
阿里云CentOS7.2清除wnTKYg木马
木头若愚
11-07 1816
最近发现阿里云CPU占用很高,一直是100%,重启之后降下来了,但过一会又100%。 用top命令查了一下,发现是wnTKYG进程占用了99.9%,百度了一下wnTKYG说是一个挖矿木马,中毒原因应该是redis没有设密码或者是弱口令。 先关了redis防止再次中招 systemctl stop redis_6379 接下来 如果/root/.ssh/下有异常文件或记录:rm -
服务器挖矿又出新服务 wnTKYg
my8611051316的专栏
03-06 1万+
wnTKYg同minerd和AnXqV两个一样都是挖矿程序。 一台服务器安装的redis3.2.8(6379端口)的版本,今天发现还是被挖矿,这次和之前的不同服务器的CPU资源没被耗到98%,而是一直维持在70%。同IP端内的另一台服务器redis3.2.8(6000端口)的机器目前没有被挖矿,继续监控中。 临时解决方法跟之前一样。 1、关闭访问挖矿服务器的访问:iptables -I
【官方文档】Nginx模块Nginx-Rtmp-Module学习笔记(二)HLS 指令详解
Tinywan
10-27 2713
&#13; 源码地址:https://github.com/Tinywan/PHP_Experience 一、在Nginx配置文件的RTMP模块中配置hls hls_key_path /tmp/hlskeys; 提示错误信息: nginx: [emerg] the same path name "/data/hlskeys" used in /usr/local/ng...
Linux随笔--压缩与解压缩
暴走的二哈
02-25 170
zip 压缩: zip 压缩文件名 源文件 zip -r 压缩文件名 源目录 unzip 压缩文件 gz压缩:gzip 源文件 #压缩为gz.格式的源文件,源文件会消失 gzip -c 源文件 &gt; 压缩文件 #源文件保留 gzip -r 目录 #压缩目录下的所有子文件,但是不压缩目录 gzip -d 压缩文件 #解压文件 gunzip 压缩文...
mysql 排序 /tmp被撑爆
zhaoyangjian724的专栏
12-19 1592
我: SELECT ai.`code`, c.mobilePhone ,co.`name`,cc.createdTime FROM ClientCoupon AS cc INNER JOIN ActivityInfo AS ai ON ai.sn = cc.activitySn INNER JOIN Client AS c ON cc.clientSn = c.sn INNER JOIN C
linux基础之压缩与归档
爱生活 爱编程
06-15 658
常见的压缩文件有哪些?*.Z compress程序压缩的文件 *.gz gzip程序压缩的文件 *.bz2 bzip2程序压缩的文件 *.tar tar程序归档的数据,并没有压缩过 *.tar.gz tar程序归档后,再经过gzip压缩 *.tar.bz2 tar程序归档后,再经过bzip
解决关闭Hadoop时no namenode to stop异常
weixin_33906657的博客
04-10 981
为什么80%的码农都做不了架构师?>>> ...
铲掉Hadoop伪分布式集群重新再搭建
AaronLwx的博客
04-19 358
[root@hadoop004 tmp]# pwd /tmp [root@hadoop004 tmp]# ls Aegis-<Guid(5A2C30A2-A87D-490A-9281-6765EDAD7CBA)> hadoop-hadoop hadoop-hadoop-datanode.pid hadoop-hadoop-namenode.pid hadoop-hadoo...
liunx 下载文件到当前服务器
11-25
首先,你需要在终端中通过ssh登录到你的liunx服务器。然后,你可以使用wget命令来下载文件到当前服务器。 例如,如果你要下载一个名为...总之,通过这些方法,你可以很容易地在liunx服务器上下载文件到当前位置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值