wntkyg挖矿木马怎么解决CentOS7

今天偶然发现服务器cpu占用率一直是100%，top查看了发现是一个名为wnTKYg的进程。

网上查找说是一个挖矿木马，清理之后做个记录。

木马如下图：

尝试pkill -9 wnTKYg杀死进程，发现没过多久又出现了

感觉好恶心，中毒原因应该是redis没有设密码或者是弱口令，先关了redis防止再次中招

systemctl stop redis

接下来

如果/root/.ssh/下有异常文件或记录：rm -rf /root/.ssh/*

查找wnTKYg进程目录：find / -name wnTKYg*

删除wnTKYg进程文件：rm -rf /tmp/wnTKYg

查找wnTKYg守护进程目录：ps -aux|grep ddg

删除wnTKYg守护进程文件，文件后缀可能不同：rm -rf /tmp/ddg.1009

删除可疑文件：

rm -rf /tmp/Aegis-\<Guid\(5A2C30A2-A87D-490A-9281-6765EDAD7CBA\)\>

rm -rf /usr/local/aegis/Aegis-\<Guid\(5A2C30A2-A87D-490A-9281-6765EDAD7CBA\)\>

删除wnTKYg定时任务：rm -rf /var/spool/cron

检查是否存在残留文件并清理...

杀进程：

pkill -9 wnTKYg

pkill -9 ddg.1009

ps x 或 top 查看是否还有木马进程

到此应该已经清理完毕

参考博客：