服务器运行程序总是被kill掉，查看cpu，有个叫做python的命令一直在运行，占用了2800cpu。一开始以为是运行程序操作不当，解决了很久未果。后来求助朋友，也未果。再后来师兄猜测有可能是挖矿木马，结果各种百度非常符合。接下来，清理木马的过程用了一天，目前已经有一天没有复现木马病毒，也许是已经清理干净了。简直花费太多时间排查，有些过程没有留下截图，仅写下来比较重要的过程供被植入挖矿木马的朋友参考交流。如果有其他更好的建议请指点！

1, top命令后如下图所示，以为是运行了什么python程序，索性我把python卸载了也没管用，这就是黑客的狡猾之处，用python这个名字。另外就是，使用kill -s 9 PID kill掉这个进程之后，随即再复活。

第一个cpu明显异常，可以看到PID为44262的进程号有问题，下文介绍中的截图不一定是这个进程号，中间过程有木马反复复活的现象，所以下面的PID号只是当时的进程号，不用在意:

使用命令top -H -p PID 可以看到有28个线程cpu被占满了99。

2, PID号23439为挖矿木马进程号，使用以下两个命令，需要定位到木马的绝对路径。在我的案例中，木马的标志基本是.X12-unix文件名，存在于各种文件夹中。

3，于是定位到这个路径下有两个文件，一个叫python，一个叫x86_64。

其实python这个就是它的执行脚本，反复复制，然后反复执行。。。

于是索性删掉这两个文件，刚开始沾沾自喜以为解决问题，但是没过多久，cpu再次被占用，也就是木马又复活了，说明还没有彻底清理干净，还留有余孽。。。

4，同样使用第二步骤中的命令，再次定位，发现/usr/local/bin/python这个东西还在作怪，奇怪的就是已经删除了，为何还在运行？于是在这个目录下rm -rf python命令，再次删除，发现作用不大，只是再次看这个界面时，红框部分一直闪烁。。木马还是反复出现，为所欲为。。。

5，发现好像有个定时似的东西，需要找到定时任务，使用如下两个命令：

crontab -l或者cat /var/spool/cron/root

使用crontab -r或者rm /var/spool/cron/root清除这个定时命令

6，这个时候发现大约复活的频率时一个小时左右，应该是还有没有被清理掉的东西，继续查找。

动态查看定时日志

tail /var/log/cron、cat /etc/crontab和crontab  -l

之前会发现有这么一个脚本定期执行，图未保留

(root) CMD (/opt/systemd-service.sh > /dev/null 2>&1 &)

后来再tail /var/log/cron查看（右半图），如下图所示，怀疑/etc/cron.hourly这个文件有问题，于是对比正常的虚拟机下面的这个文件夹下是空的，而服务器下ll这个文件夹如下图所示，更加坚定了这个文件是存在问题的。

很容易删掉0anancron这个文件，而man-db被拒绝删掉。

于是使用如下一系列命令：

chattr -I man-db

chmod 000 man-db

rm rf man-db

于是删除掉了。

到此为止，挖矿木马未再复现，服务器恢复正常。本人仍在继续监测中。。。

7 另外要修改root密码和SSH端口，提交密码的安全级别。定期查看动态日志及定时任务。