写回答
-
最佳回答:
刚好碰到了,之前中过此病毒。大概是CUP会慢慢的到100% 然后进程卡死。 在你的temp临时文件里会有几个文件不断调用。
解决方式嘛,操作有点麻烦,先把防火墙开起来,在安全组里设置对外的端口和IP 限制。 在把里面的运行文件删掉,在定时任务里清空任务, 然后记得把redis的端口和密码改改。这个病毒就是通过redis侵入的。
具体修复步骤如下:
通过#top -c排查CPU占内存很高的进程
19146 root 20 0 236236 5200 1024 S 99.7 0.1 9518:01 /tmp/wnTKYg
删除#/var/spool/cron下的自启动脚本,root和crontabs
通过进程查看到该文件目录为 /tmp下,删除wnTKYg并杀进程,但是4S后还会自启动,经过排查应该还有守护进程,在/tmp 目录下找到ddg.2020文件,删除该文件并停掉ddg.2020进程
删除#rm -rf Aegis。。。。 文件
重新检查wnTKYg和ddg.2020进程是否存在 问题总结
这样的病毒是直接远程连接redis,一般redis都是root安装的,连接redis也就掌握了root权限,它可以往你的定时任务里写内容
中这样的病毒大多都是因为redis没有设置密码,存在着很大的安全漏洞,所以大家要设置redis密码,并且更改redis的端口。安装时最好别用root安装。
官方帮助文档地址:阿里云帮助中心
更多参考: 阿里云官网(新用户需注册查看),可领上云红包
2021-07-02 09:57:10赞同 展开评论 打赏 -
浙江七巧板信息科技股份有限公司 技术VP/CTO,十年编程经验,七年管理经验,09年开始做Android,历经Android App,DELL手机系统,DELL平板系统,GM车载系统的开发,13年加入移动互联网创业大军,连续创业者,目前主攻JAVA架构,搜索引擎,大数据储存。刚好碰到了,之前中过此病毒。大概是CUP会慢慢的到100% 然后进程卡死。 在你的temp临时文件里会有几个文件不断调用。解决方式嘛,操作有点麻烦,先把防火墙开起来,在安全组里设置对外的端口和IP 限制。 在把里面的运行文件删掉,在定时任务里清空任务, 然后记得把redis的端口和密码改改。这个病毒就是通过redis侵入的。具体修复步骤如下:通过#top -c排查CPU占内存很高的进程
19146 root 20 0 236236 5200 1024 S 99.7 0.1 9518:01 /tmp/wnTKYg
删除#/var/spool/cron下的自启动脚本,root和crontabs
通过进程查看到该文件目录为 /tmp下,删除wnTKYg并杀进程,但是4S后还会自启动,经过排查应该还有守护进程,在/tmp 目录下找到ddg.2020文件,删除该文件并停掉ddg.2020进程
删除#rm -rf Aegis。。。。 文件
重新检查wnTKYg和ddg.2020进程是否存在
问题总结这样的病毒是直接远程连接redis,一般redis都是root安装的,连接redis也就掌握了root权限,它可以往你的定时任务里写内容
中这样的病毒大多都是因为redis没有设置密码,存在着很大的安全漏洞,所以大家要设置redis密码,并且更改redis的端口。安装时最好别用root安装。
2019-07-22 11:35:19赞同 展开评论 打赏 -
看看安全组里是否开了一些不必要的端口和访问源,以及是否有弱密码用户。建议至少关掉远程桌面或SSH的对公网全开访问。
处理好安全组后,再杀掉挖矿程序就可以了。
当然,有钱的话购买安骑士也是一个必要的选择。2019-05-15 14:26:37赞同 展开评论 打赏 -
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
