今年3月份的时候，因业务需要要在新购入的阿里云服务器上搭建openresty+lua程序调用阿里云redis数据库，因为想方便查看redis的数据，顺便在服务器上安装的redis客户端。午饭后，想看一下openresty占用内存及cpu的情况。突然发现cpu占用率竟然达到了100%，而引起cpu 100%的是一个wnTKYg程序。

不明白wnTKYg是什么，上网百度了一下，这个竟然是传说中的叫挖矿的程序，俗称挖矿机。心里凉了一下，竟被我遇上了。第一次遇上这个问题，直接找到这个程序的pid，就马上kill了，在top的时候，这个程序竟然又起来了，cpu占有率也还是达到了100%。看来没找到问题的根源，再一次百度处理程序的方法。

其中看到了1篇和我遇上情况一样的文章。网上说的是redis的空子进来的，redid密码太简单，端口6379未变。好了，重点说一下解决的办法。参照网上的处理方法：

关闭访问挖矿服务器的访问：iptables -I INPUT -s -j DROP；iptables -A OUTPUT -d -j DROP

找到minerd程序：find / -name wnTKYg*

去掉执行权限：chmod -x wnTKYg

杀掉进程：pkill wnTKYg

清除定时任务：在 /var/spool/cron 下的文件直接删除

清除文件：除了opt下面的两个异常文件需要清除，/tmp文件夹下也有文件需要清除

因为服务器上只是redis客户端，我直接drop了，以绝后患，查看数据的话，直接登录阿里云的redis管理界面查看。

最后记住redis在生产上的配置一点要重视，密码，端口，防火墙...

附上看到的一片博客，也是关于wnTKYg的问题。

内容如下：

杀wnTKYg病毒分两步，第一是找到它的来源，切断入口，第二步，找到它的守护进程并杀死，然后再去杀死病毒进程，有的守护进程很隐蔽，唤醒病毒之后，自动消亡，这时候top就看不到了，要留心。

由于工作需要，我由一个专业java开发工程师，渐渐的也成为了不专业的资深的运维工程师了。最近项目在做性能测试，发现CPU使用率异常，无人访问时CPU也一直保持75%，然后在xShell上top了一下，发现wnTKYg这个程序CPU占用率300%，

很明显是病毒进程，下意识的把它kill了，但是一分钟之后又自动重启了，于是百度了一下，发现这个东西叫做挖矿工，简单的说，就是别人用你的服务器去做它自己的事，然后赚钱。

知道wnTKYg是什么鬼之后，我不急着杀死它，先百度了一下它怎么进来的，百度上关于它的帖子特别少，说是钻了redis的空子进来的，我基本上赞同这个说法，第一步就是对redis进行了配置上的修改：

① 把默认的端口号6379给改了

② 把密码改的更复杂了

③ 把bind xx.xx.x.x xx.xx.xx.xx改了

修改redis是防止这熊孩子再进来，第二步就是把已经入驻的木马杀死，它不仅使用我的服务器，它还登录我的账号，所以查看了/root/.ssh 下的文件，在/root/.ssh/known_hosts中发现了我不认识的IP，绝对有问题，于是干脆把 /root/.ssh 下的文件都删了，省事了。

第三步就是要找到所有关于病毒的文件， 执行命令 find / -name wnTKYg*，只有/tmp下有这个文件，删了，然后就去kill wnTKYg进程，你以为这样它就可以死了吗？Never！一分钟之后它又复活了，我猜测一定有守护进程在唤醒它，于是我再kill 然后top观察进行变化，终于被我发现了，有一个/tmp/ddg.1007进程很可疑，于是百度这个东东验证了一下，果然，就是挖矿工的守护进程，用ps -aux|grep ddg 命令把所有ddg进程找出来杀掉，并删除/tmp目录下的所有的对应ddg文件，至此，病毒被解决了，异地登录，安全扫描什么的也被我解决了。

很多哥们也遇到了这个问题，加了我好友，并且描述了他们的一些情况，我会把他们的改进和补充也写在此贴里，有的哥们会有个定时任务下载这些东西，目录 /var/spool/cron，记得留意这个文件夹，如果遇到，就把它干掉。

安全问题依然严峻，于是找了一家安全公司--安全狗咨询了下相关的安全业务，发现蛮贵的，都是万开头的，而且我也不知道他们水平怎么样，于是把我遇到的问题跟业务员说了，看看他们怎么解决，怎么收费，谈判了一下午，定价3500，没的再低了，哎，还是我好，又为公司省了3500。

因为发了这篇帖子，一位和我情况差不多的网友也提供了一种解决方案，我把他的也贴进来与大家分享谢谢这位网友：首先关闭挖矿的服务器访问 iptables -A INPUT -s xmr.crypto-pool.fr -j DROP

iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP 然后删除yam 文件 用find / -name yam查找yam 文件 之后 找到wnTKYg 所在目录 取消掉其权限 并删除 然后再取消掉 tmp 的权限并删除 之后 pkill wnTKYg就OK了。

如果觉得这篇文章对您起了帮助，记得点赞加评论，让更多人可以看到，问题能够快速的解决。

转载的话，记得注明出处，把我博客地址贴上，谢谢