一个名叫aliyun的挖矿木马处理过程

[ishuling]

hksanduo：
您好，我不确定您是否是以下文章的作者。
https://hksanduo.club/security/2019/12/19/clean-up-a-mining-trojan-named-aliyun/#more
一个名叫aliyun的挖矿木马处理过程
我最近服务器遇到了类似的问题，多亏您的文章，对我帮助很大，非常感谢。由于您的blog上未发现留言位置，因此我冒昧的通过github找到了同名的您。如果打扰到您，还请见谅。

此外我想对您的病毒清理有个小的提醒，该病毒很有可能在
/etc/hosts和/root/.ssh里的key里可能做了一些修改，病毒做了一个本地的重定向
从本地直接联系外部网站，所以不好清理干净
0.0.0.0 aliyun.one
0.0.0.0 lsd.systemten.org
0.0.0.0 pastebin.com
0.0.0.0 pm.cpuminerpool.com
0.0.0.0 systemten.org
务必针对性的进行删除。
这部分我猜测是用于 redis 0.0.0.0的弱密码漏洞，以实现免密登录，以达到长期污染的目的。
redis是用于数据结构服务器”服务的。由于本人对redis了解不多，这部分只是猜测，我的选择是由于用不着，我删掉了这个服务。我个人大xin胆xu的猜测这个服务也是本病毒入侵的可能原因之一。
为安全起见，/etc/hosts和~/.ssh/authorized_keys文件务必认真确认，删掉不可信的认证，并进一步去除修改权限。

最后再次感谢您文章对我的帮助。

[hksanduo]

ishuling
您好，hksanduo.club是我个人的域名，您提到的文章和我github上的文章是同步的，能解决您的问题我感到十分荣欣。您提到的~/.ssh/authorized_keys及/root/.ssh文件可能被修改，我会尽快测试一下，这是我的疏忽，一般木马入侵第一时间使用本地的私钥登录之前登录过的站点，然后将自己的公钥写入~/.ssh/authorized_keys，方便后续免密码登录系统。