第一次接触木马病毒：挖矿工

在一个神奇的下午，闲来无事看看自家挂在阿里云上的服务器，打开一redis-cli，登进去看看都有什么keys *，发现一神奇的key，名字很长，乱七八糟的，问了一下个人开发同窗们，没人设置，这就奇怪了，而后top了一下，发现了一个占用cpu 100%以上的wnTkyg

而后又无人吱声，抱着好奇的态度百度了一下，而后知道了自家服务器被木马搞上了，感受很兴奋。

兴奋在于百度说这是一挖矿工病毒，百度到的解决办法都是今年最新的文章，并且是一个不难解决的木马。

总结几点：

1，wnTkyg占用cpu 一直100%以上

2，有守护进程ddg，kill掉一下子又启动了。

3, 钻的redis漏洞

而后开始搞它。

0，删掉redis的那个key del xxx

1，查看/root/.ssh下文件，是否有未知ip，有删掉，我这没有，但网上的同窗有的说是有

2，先杀守护进程 ps -ef|grep ddg 我发现了两个 ddg.1009和ddg.1011，直接kill掉

 而后回头kill掉wntkyg

3,删除如下目录内容

find / -name yam 删掉

若是/var/spool/cron存在，也删掉

后续的补充：

1，修改redis默认端口6379,改为别的

2,设置redis的密码 vim redis.conf ，设置密码 requirepass password

设置了密码后，执行命令redis-cli以后，要执行

auth password

才能查看/修改 key

jedis也要增长一行代码

jedis.auth(auth);

3，将redis的所属用户和组，修改成普通用户(非root)，像成熟的中间件elasticsearch都有检测，若是为root用户启动，会报错，强制要求你赋予普通用户。据说redis也准备搞这个，不知道最新版本是否是已经有了。