前言
mmp redis 由于使用了弱密码 导致被人植入 kworkerds挖矿病毒
稍微看了下 这个病毒 只要清理相关文件 就行了
kworkerds病毒
kworkerds挖矿病毒通过redis 6379端口入侵服务器 并且执行挖矿程序
处理方案
- redis 设置复杂密码
1
docker run --name redis-test -p 6379:6379 -d --restart=always redis:4.0.11-alpine redis-server --appendonly yes --requirepass "************"
- 通过脚本清理kworkerds病毒进程 源程序、定时脚本
下面是从网上抄的脚本 就是删除kworkerds相关进程 脚本 并且将 pastebin.com 指向到本地1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52echo '127.0.0.1 pastebin.com' >> /etc/hosts
chattr -i /etc/ld.so.preload
echo "" > /etc/ld.so.preload
chattr -i /usr/local/bin/dns
echo "" > /usr/local/bin/dns
chattr -i /etc/cron.d/root
echo "" > /etc/cron.d/root
chattr -i /etc/cron.d/apache
echo "" > /etc/cron.d/apache
chattr -i /var/spool/cron/root
echo "" > /var/spool/cron/root
chattr -i /var/spool/cron/crontabs/root
echo "" > /var/spool/cron/crontabs/root
rm -rf /etc/cron.hourly/oanacroner
rm -rf /etc/cron.daily/oanacroner
rm -rf /etc/cron.monthly/oanacroner
#rm -rf /bin/httpdns
#sed -i '$d' /etc/crontab
sed -i '$d' /etc/ld.so.preload
chattr -i /usr/local/lib/libntpd.so
rm -rf /usr/local/lib/libntpd.so
ps aux|grep kworkerds|grep -v color|awk '{print $2}'|xargs kill -9
chattr -i /tmp/thisxxs
rm -rf /tmp/thisxxs
chattr -i /tmp/kworkerds
rm -rf /tmp/kworkerds
预防方式
时常巡检 服务器
任何服务都要设置密码 就算在内网中也应该设置密码
总结
mmp
其实还应该看看有没有定时脚本 如cron任务、timer之类的玩意 坑