今天又遇到了一件烦心的事,前几天刚解决服务器内存跑满的问题,今天又碰到了神奇而又久违的redis挖矿程序。

查询了一下挖矿,就是有人借助redis漏洞借用别人的服务器进行挖矿。

上次做电子商城项目时,开发过程中环境用的阿里云服务器,中途碰到了俄罗斯的ip成功黑了我的服务器,好在文件访问权限有限制,对方仅给我home目录加了密。后来,实在担心留有其它隐藏程序,还是重置了服务器,可怜了又要装一大把的环境。

后来,查阅了一下资料,有人说给配置文件的bind属性取消注释并绑定上ip就行。信了个邪,完全没用。

用top命令查看,杀掉》》》》》》没用!!!

彻底杀掉redis挖矿程序及其守护进程wnTKYg

守护进程???找出来,杀掉》》》》》》没用!!!!!

删除文件???找出来【find / -name wnTKYg】没用!!!过两分钟又会重现!!!

彻底杀掉redis挖矿程序及其守护进程wnTKYg

这次wnTKYg, 这个程序的进程守护很牛逼,根据网友的解决方案,杀掉其进程和守护进程,并且在/tmp目录下删除 ddg.2004和wnTKYg文件,然后并没有用,过两分钟,wnTKYg进程依然起来,查询进程PID想杀掉,有的居然杀不掉!!而且还会让你的远程连接断掉!!!

后来,查询了另外一位网友的解决方案,原来问题出在一个定时任务:

目录 /var/spool/cron,记得留意这个文件夹!如果自己层写过一些定时任务,还是忍痛割爱删掉吧,删掉这个目录,没有出现过几分钟又重新跑满CPU的问题。

彻底杀掉redis挖矿程序及其守护进程wnTKYg

 

还是要感谢网友张先生:http://blog.sina.com.cn/s/blog_c08907b10102wyyl.html