阿里云ECS，态势感知报 Liunx异常文件下载。

阿里云服务器报 Liunx异常文件下载、挖矿进程、SSH远程非交互式一句话异常指令执行，经排查为wnTKYg病毒，具体修复步骤如下：

通过#top -c排查CPU占内存很高的进程

19146 root 20 0 236236 5200 1024 S 99.7 0.1 9518:01 /tmp/wnTKYg

删除#/var/spool/cron下的自启动脚本，root和crontabs

通过进程查看到该文件目录为 /tmp下，删除wnTKYg并杀进程，但是4S后还会自启动，经过排查应该还有守护进程，在/tmp 目录下找到ddg.2020文件，删除该文件并停掉ddg.2020进程

删除#rm -rf /usr/local/aegis/Aegis-\<Guid5A2C30A2−A87D−490A−9281−6765EDAD7CBA\> 文件

重新检查wnTKYg和ddg.2020进程是否存在

问题总结

这样的病毒是直接远程连接redis，一般redis都是root安装的，连接redis也就掌握了root权限，它可以往你的定时任务里写内容。

中这样的病毒大多都是因为redis没有设置密码，存在着很大的安全漏洞，所以大家要设置redis密码，并且更改redis的端口。安装时最好别用root安装。

查了些资料看有人说这是在挖币，wnTKYg是门罗币，所以大家要注意服务器的安全，别让自己的资源让别人用来挣钱。