一次阿里雲服務被挖礦的經歷

今年3月份的時候,因業務需要要在新購入的阿里雲伺服器上搭建openresty+lua程序調用阿里雲redis資料庫,因為想方便查看redis的數據,順便在伺服器上安裝的redis客戶端。午飯後,想看一下openresty佔用內存及cpu的情況。突然發現cpu佔用率竟然達到了100%,而引起cpu 100%的是一個wnTKYg程序。

不明白wnTKYg是什麼,上網百度了一下,這個竟然是傳說中的叫挖礦的程序,俗稱挖礦機。心裡涼了一下,竟被我遇上了。第一次遇上這個問題,直接找到這個程序的pid,就馬上kill了,在top的時候,這個程序竟然又起來了,cpu佔有率也還是達到了100%。看來沒找到問題的根源,再一次百度處理程序的方法。

Advertisements

其中看到了1篇和我遇上情況一樣的文章。網上說的是redis的空子進來的,redid密碼太簡單,埠6379未變。好了,重點說一下解決的辦法。參照網上的處理方法:

  1. 關閉訪問挖礦伺服器的訪問:iptables -I INPUT -s www.bdyutiudwj.com -j DROP;iptables -A OUTPUT -d www.bdyutiudwj.com -j DROP

  2. 找到minerd程序:find / -name wnTKYg*

  3. 去掉執行許可權:chmod -x wnTKYg

  4. 殺掉進程:pkill wnTKYg

  5. 清除定時任務:在 /var/spool/cron 下的文件直接刪除

  6. 清除文件:除了opt下面的兩個異常文件需要清除,/tmp文件夾下也有文件需要清除

    Advertisements

因為伺服器上只是redis客戶端,我直接drop了,以絕後患,查看數據的話,直接登錄阿里雲的redis管理界面查看。

最後記住redis在生產上的配置一點要重視,密碼,埠,防火牆...

附上看到的一片博客,也是關於wnTKYg的問題。http://blog.sina.com.cn/s/blog_c08907b10102wyyl.html

內容如下:

殺wnTKYg病毒分兩步,第一是找到它的來源,切斷入口,第二步,找到它的守護進程並殺死,然後再去殺死病毒進程,有的守護進程很隱蔽,喚醒病毒之後,自動消亡,這時候top就看不到了,要留心。

由於工作需要,我由一個專業java開發工程師,漸漸的也成為了不專業的資深的運維工程師了。最近項目在做性能測試,發現CPU使用率異常,無人訪問時CPU也一直保持75%,然後在xShell上top了一下,發現wnTKYg這個程序CPU佔用率300%,

很明顯是病毒進程,下意識的把它kill了,但是一分鐘之後又自動重啟了,於是百度了一下,發現這個東西叫做挖礦工,簡單的說,就是別人用你的伺服器去做它自己的事,然後賺錢。

知道wnTKYg是什麼鬼之後,我不急著殺死它,先百度了一下它怎麼進來的,百度上關於它的帖子特別少,說是鑽了redis的空子進來的,我基本上贊同這個說法,第一步就是對redis進行了配置上的修改:

① 把默認的埠號6379給改了

② 把密碼改的更複雜了

③ 把bind xx.xx.x.x xx.xx.xx.xx改了

修改redis是防止這熊孩子再進來,第二步就是把已經入駐的木馬殺死,它不僅使用我的伺服器,它還登錄我的賬號,所以查看了/root/.ssh 下的文件,在/root/.ssh/known_hosts中發現了我不認識的IP,絕對有問題,於是乾脆把 /root/.ssh 下的文件都刪了,省事了。

第三步就是要找到所有關於病毒的文件, 執行命令 find / -name wnTKYg*,只有/tmp下有這個文件,刪了,然後就去kill wnTKYg進程,你以為這樣它就可以死了嗎?Never!一分鐘之後它又復活了,我猜測一定有守護進程在喚醒它,於是我再kill 然後top觀察進行變化,終於被我發現了,有一個/tmp/ddg.1007進程很可疑,於是百度這個東東驗證了一下,果然,就是挖礦工的守護進程,用ps -aux|grep ddg 命令把所有ddg進程找出來殺掉,並刪除/tmp目錄下的所有的對應ddg文件,至此,病毒被解決了,異地登錄,安全掃描什麼的也被我解決了。

很多哥們也遇到了這個問題,加了我好友,並且描述了他們的一些情況,我會把他們的改進和補充也寫在此貼里,有的哥們會有個定時任務下載這些東西,目錄 /var/spool/cron,記得留意這個文件夾,如果遇到,就把它幹掉。

安全問題依然嚴峻,於是找了一家安全公司--安全狗諮詢了下相關的安全業務,發現蠻貴的,都是萬開頭的,而且我也不知道他們水平怎麼樣,於是把我遇到的問題跟業務員說了,看看他們怎麼解決,怎麼收費,談判了一下午,定價3500,沒的再低了,哎,還是我好,又為公司省了3500。

因為發了這篇帖子,一位和我情況差不多的網友也提供了一種解決方案,我把他的也貼進來與大家分享謝謝這位網友:首先關閉挖礦的伺服器訪問 iptables -A INPUT -s xmr.crypto-pool.fr -j DROP

iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP 然後刪除yam 文件 用find / -name yam查找yam 文件 之後 找到wnTKYg 所在目錄 取消掉其許可權 並刪除 然後再取消掉 tmp 的許可權並刪除 之後 pkill wnTKYg就OK了。

如果覺得這篇文章對您起了幫助,記得點贊加評論,讓更多人可以看到,問題能夠快速的解決。

轉載的話,記得註明出處,把我博客地址http://blog.sina.com.cn/pastlifezhangchilde貼上,謝謝

Advertisements

你可能會喜歡

Advertisements