今天早上突然发现自己的服务器特别卡,
    服务器用的是腾讯云 系统是CentOS 6.5 64位
    查看了监控以后发现cpu和内存占用明显异常一直100%

    imagepng

    imagepng

    用top命令查了一下,发现是wnTKYG进程占用了99.9%
    网上查了一下wnTKYG说是一个挖矿木马
    是挖的门罗币
    中毒原因应该是redis没有设密码
    先关了redis防止再次中招
    kill -9 xxx
    接下来
    查找wnTKYg进程目录:find / -name wnTKYg
    删除wnTKYg进程文件:rm -rf  /tmp/wnTKYg
    查找wnTKYg守护进程目录:ps -aux|grep ddg
    删除wnTKYg守护进程文件,文件后缀可能不同:rm -rf /tmp/ddg.2020
    删除可疑文件:
    rm -rf /tmp/(里边可疑的文件包括ssh,我全部干掉了)
    检查是否存在残留文件并清理…
    目录 var/spool/cron,这个是定时启动的,记得留意这个文件夹,如果遇到,就把它干掉。
    杀进程:
    pkill -9 wnTKYg
    pkill -9 ddg.2020
    ps x 或 top 查看是否还有木马进程
    到此应该已经清理完毕!
    redis设置新密码
    删除异常用户
    重启正常运行
    参考帖子: http://blog.sina.com.cn/s/blog_c08907b10102wyyl.html