清除wnTKYg 挖矿工木马的过程？

1、由于工作需要，服务器上发现CPU使用率异常，无人访问时CPU也一直保持75%，然后在xShell上top了一下，发现wnTKYg这个程序CPU占用率300%，很明显是病毒进程，下意识的把它kill了，但是一分钟之后又自动重启了，于是百度了一下，发现这个东西叫做挖矿工，简单的说，就是别人用你的服务器去做它自己的事，然后赚钱。

      知道wnTKYg是什么鬼之后，我不急着杀死它，先百度了一下它怎么进来的，百度上关于它的帖子特别少，说是钻了redis的空子进来的，我基本上赞同这个说法，第一步就是对redis进行了配置上的修改：
① 把默认的端口号6379给改了
② 把密码改的更复杂了
③ 把bind xx.xx.x.xxx.xx.xx.xx改了
      修改redis是防止这熊孩子再进来，第二步就是把已经入驻的木马杀死，它不仅使用我的服务器，它还登录我的账号，所以查看了 /root/.ssh下的文件，在/root/.ssh/known_hosts中发现了我不认识的IP，绝对有问题，于是干脆把 /root/.ssh下的文件都删了，省事了。
      第三步就是要找到所有关于病毒的文件， 执行命令  find / -namewnTKYg*，只有/tmp下有这个文件，删了，然后就去killwnTKYg进程，你以为这样它就可以死了吗？Never！一分钟之后它又复活了，我猜测一定有守护进程在唤醒它，于是我再kill 然后top观察进行变化，终于被我发现了，有一个/tmp/ddg.1007进程很可疑，于是百度这个东东验证了一下，果然，就是挖矿工的守护进程，用ps-aux|grep
ddg 命令把所有ddg进程找出来杀掉，并删除/tmp目录下的所有的对应ddg文件，至此，病毒被解决了，异地登录，安全扫描什么的也被我解决了。
      很多哥们也遇到了这个问题，加了我好友，并且描述了他们的一些情况，我会把他们的改进和补充也写在此贴里，有的哥们会有个定时任务下载这些东西，目录/var/spool/cron，记得留意这个文件夹，如果遇到，就把它干掉。
2

首先关闭挖矿的服务器访问 
iptables -A INPUT -s xmr.crypto-pool.fr -j DROP

iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP     然后删除yam
文件   用find / -nameyam查找yam文件    之后
找到wnTKYg 所在目录 取消掉其权限  并删除 然后再取消掉 tmp的权限并删除  之后 pkill wnTKYg就OK了。
最后解决：目录/var/spool/cron全部删掉，然后取消wnTKYg
所有目录的权限并删除，之后kill掉wnTKYg
和ddg.2020就好了。