第一次接觸木馬病毒：挖礦工

在一個神奇的下午，閒來無事看看自家掛在阿里雲上的服務器，打開一redis-cli，登進去看看都有什麼keys *，發現一神奇的key，名字很長，亂七八糟的，問了一下個人開發同窗們，沒人設置，這就奇怪了，而後top了一下，發現了一個佔用cpu 100%以上的wnTkyg

而後又無人吱聲，抱着好奇的態度百度了一下，而後知道了自家服務器被木馬搞上了，感受很興奮。

興奮在於百度說這是一挖礦工病毒，百度到的解決辦法都是今年最新的文章，並且是一個不難解決的木馬。

總結幾點：

1，wnTkyg佔用cpu 一直100%以上

2，有守護進程ddg，kill掉一下子又啓動了。

3, 鑽的redis漏洞

而後開始搞它。

0，刪掉redis的那個key del xxx

1，查看/root/.ssh下文件，是否有未知ip，有刪掉，我這沒有，但網上的同窗有的說是有

2，先殺守護進程 ps -ef|grep ddg 我發現了兩個 ddg.1009和ddg.1011，直接kill掉

 而後回頭kill掉wntkyg

3,刪除如下目錄內容

find / -name yam 刪掉

若是/var/spool/cron存在，也刪掉

後續的補充：

1，修改redis默認端口6379,改爲別的

2,設置redis的密碼 vim redis.conf ，設置密碼 requirepass password

設置了密碼後，執行命令redis-cli以後，要執行

auth password

才能查看/修改 key

jedis也要增長一行代碼

jedis.auth(auth);

3，將redis的所屬用戶和組，修改成普通用戶(非root)，像成熟的中間件elasticsearch都有檢測，若是爲root用戶啓動，會報錯，強制要求你賦予普通用戶。據說redis也準備搞這個，不知道最新版本是否是已經有了。