Redis后门导致挖矿木马植入newinit.sh的解决方法

发布于 2021-02-13  1.08k 次阅读


原因

大部分是因为Redis弱密码或者无密码

症状

  1. 挖矿程序日常,CPU占满,RAM占满
  2. /etc/ 目录下存在newinit.sh
  3. /etc/crontab 无法更改

解决方法

将以下脚本保存为.sh并运行,其实就是根据病毒的操作逆向执行

#!/bin/bash
echo "欢迎使用 Killer of newinit.sh"
echo "editer:WiDayn WiDayn.club"
echo "开始执行解毒操作"
echo "删除newitin.sh"
chattr -ia /etc/newinit.sh
rm -rf /etc/newinit.sh
echo "开启SELINUX"
echo SELINUX=enabled > /etc/sysconfig/selinux 2>/dev/null
echo "恢复curl"
mv /usr/bin/cd1 /usr/bin/curl
echo "恢复wget"
mv /usr/bin/wd1 /usr/bin/wget
echo "解锁crontab并删除保活计划"
chattr -R -ia /var/spool/cron
chattr -ia /etc/crontab
chattr -R -ia /var/spool/cron/crontabs
chattr -R -ia /etc/cron.d
rm -rf /etc/cron.d/zzh
rm -rf /etc/crontab
echo crontab created
echo "恢复ps,top,pstree命令"
chattr -ia /bin/ps
rm -f /bin/ps
mv /bin/ps.origin /bin/ps
chattr -ia /bin/top
rm -f /bin/top
mv /bin/top.origin /bin/top
chattr -ia /bin/pstree
rm -f /bin/pstree
mv /bin/pstree.origin /bin/pstree
echo "杀死挖矿程序"
yum install -y psmisc
killall zzh
killall pnscan
killall redis-cli
echo "清除黑客登录证书"
chattr -ia /root/.ssh/*
rm -f /root/.ssh/*
echo "清除病毒临时文件目录"
chattr -ia /etc/*
rm -f /etc/*.json
chattr -ia /tmp/*
rm -fR /tmp/*
echo "运行完毕,建议重启"

天道酬勤