前一陣部門開發人員說測試服務器反應太慢，我上服務器top一下發現有個程序cpu占到了百分之300，沒有多想以為是開發運行的轉碼程序，直接kill掉，沒在管理，前天又收到服務器反應慢的報告，上去top一下又有個程序占了300的cpu，感覺很疑惑，這個程序跟之前的程序不一樣，沒有直接kill掉，跟開發人員核對後發現不是他們部署的測試程序，心想，幹了！ 出事了，

---------------------------------------------------------------------------

首先kill掉了進程 持續觀察系統狀態，1分鐘過後進程又再次出現。看了一下服務器上的程序，nginx mysql php MediaWiki

隨後百度查了一下wnTKYg 這個程序發現是個挖礦的程序，看了下登陸日誌發現不存在暴力破解的情況，那麽肯定是通過漏洞進來的，之後看了下計劃任務 發現了一個每隔5分鐘從另外的服務器上下載腳本的程序，果斷刪除，kill掉進程，過了一會這個進程又出來了，肯定有守護進程，又top了一下仔細查看了所有進程，發現了ddg.2003 ddg.2004 pmzasa 這三可疑進程，ll /proc/pid 後發現了執行的路徑，均在/tmp 底下，刪除文件，kill掉進程。觀察了一會，貌似是沒問題了

比較好奇他是怎麽進來的，查看訪問日誌發現並沒有可疑的地方，說明不是從web進來的，網上查找了mediawiki 資料發現有個漏洞上傳的BUG，向經理申請臨時停掉，遷移到其他機器，升級到最新版本，jira一起遷移走，php停掉，剩下的只有mongodb 和redis，正當我查找的時候，進程又出現了，

這就蛋疼了，查看了一下發現之前刪的守護進程也出現了，肯定是留有和後門或者從漏洞再次進來的，向經理反饋，準備遷移項目從新做系統，因為開發在測試只能第二天在遷移，上Google查找了大量文章，發現外國的一個哥們說是通過readis漏洞進來的

我們的redis沒在用 所以直接關掉，又自仔細查找了一番，發現開機啟動文件中有個下載腳本的程序，刪掉。查找可疑用戶和組發現沒有可疑情況，在/root/.ssh/known_hosts 發現了一個可疑IP，刪掉。

在 /var/spool/cron 底下發現了定時下載的計劃任務，刪掉。/tmp/底下的所有文件刪掉。kill 掉進程，更改密碼。至此， 世界從此清凈了。。。。 因為已經被入侵而且拿到了root權限，系統已經完全不可信，還是要從新做系統。

----------------------------------------

怎麽樣提高服務器安全性能，以下是小弟愚見，大神勿噴

修改端口號，秘鑰登錄，隨機生成的復雜密碼，停掉不必要服務，刪除無用賬戶和組，將用戶改成/nolgin，取消telnet，啟用hosts.allow和hosts.deny 修改/tmp 的分區屬性 使其目錄下的任何文件不能執行，修改history路徑以及記錄下登錄的ip，用戶，shell命令，詳細的操作時間，最重要的，做好備份。

本文出自 “紙炮團” 博客，請務必保留此出處http://qiaivheise.blog.51cto.com/7743217/1953336

wnTKYg 挖礦工木馬 解決過程