Redis挖矿新程序wnTKYg解决方法



wnTKYg同minerd和AnXqV两个一样都是挖矿程序。

我的其中一台服务器安装的redis3.2.5（6379端口）的版本，今天发现被挖矿（植入了程序），CPU资源一直占用到98%，造成主机无法使用。

解决方法步骤如下：

1、关闭访问挖矿服务器的访问：

iptables -I INPUT -s www.bdyutiudwj.com -j DROP；

iptables -A OUTPUT -d www.bdyutiudwj.com -j DROP

或者是

iptables -A INPUT -s  xmr.crypto-pool.fr -j DROP

iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP

2、找到wnTKYg程序：find / -name wnTKYg* ，一般是在/tmp/wnTKYg

3、去掉执行权限：chmod -x wnTKYg

4、杀掉进程：pkill wnTKYg

5、清除定时任务：在 /var/spool/cron 下的文件直接删除或者直接删除

rm -rf /var/spool/cron

6、清除文件：/tmp文件夹下也有文件需要清除，Aegis-<Guid(5A2C30A2-A87D-490A-9281-6765EDAD7CBA)>   AnXqV   ddg.217   ddg.218   ddg.219   duckduckgo.12.log   duckduckgo.17.log   duckduckgo.18.log   duckduckgo.19.log

7、清除文件

      删除文件之后要在次删除相关进程，ddg.1009，这个进程要删除掉

       ps -aux|grep ddg ,kill进程ID

为了防止REDIS以后再次攻击，最后做以下修改

（1）把默认的端口号6379给改了
（2）把密码改的更复杂了
（3）把bind xx.xx.x.x   xx.xx.xx.xx改了