1.公私鑰免密登錄方式入侵

查看/root/.ssh/authorized_keys

[root@xuanyuan ~]# cat .ssh/authorized_keys
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABA······

如果有authorized_keys文件中的公鑰請(qǐng)及時(shí)清理，或者刪除該文件
當(dāng)使用rm刪除文件和文件夾的時(shí)候提示：rm: 無法刪除"bash": 不允許的操作
解決方法：

1、查看文件屬性
lsattr filetodel<br>----ia-------e- filetodel
可以看到此文件有-i 和-a屬性，此時(shí)我們只要將此屬性刪除掉即可

通過命令 chattr,可以設(shè)置文件/文件夾的隱藏屬性,來保證文件/文件夾的安全.其中比較重要的參數(shù)為i和a.這兩個(gè)屬性只有root用戶才可以設(shè)置或清除.而通過命令 lsattr 可以查看這些屬性.

2、刪除屬性：
chattr -i authorized_keys2
chattr -a authorized_keys2
chattr -u authorized_keys2
再次刪除該文件，即可正常刪除了

2.cpu使用率基本跑滿（用戶態(tài)），沒有發(fā)現(xiàn)可疑的進(jìn)程，初步懷疑可能是進(jìn)程在哪里隱藏了
可能是起的一個(gè)守護(hù)進(jìn)程
執(zhí)行命令ps -aux --sort=-pcpu|head -10

查看dns
果然dns被修改了

查看定時(shí)任務(wù)一般情況使用crontab -l是看不到的，需要查看/etc/crontab

發(fā)現(xiàn)定時(shí)任務(wù)被加入了一條
0 */8 * * * root /usr/lib/libiacpkmn

根據(jù)定時(shí)任務(wù)中的可疑文件所在路徑/usr/lib/libiacpkmn
排查中發(fā)現(xiàn)/etc/rc.d/init.d/, /usr/bin/存在可執(zhí)行文件nfstruncate，
在rc0.d-rc6.d目錄下都存在S01nfstruncate文件，可能是自啟動(dòng)文件
現(xiàn)在排查的很明朗了，接下來著手清理工作

1. 阻斷挖礦程序鏈接外網(wǎng)服務(wù)（很重要）
   在/etc/hosts里增加一條
   127.0.0.1 g.upxmr.com
   阻斷挖礦程序鏈接外網(wǎng)下載可執(zhí)行文件，不加了的話干掉服務(wù)又會(huì)起來（除非把服務(wù)器網(wǎng)斷了）
2. 干掉可疑程序“ata”進(jìn)程
   kill -9 {PID}
   再次查看發(fā)現(xiàn)cpu使用率降下來了，挖礦程序也沒啟動(dòng)了。
3. 刪除定時(shí)任務(wù)及文件
   根據(jù)上面定時(shí)任務(wù)截圖，需要徹底刪除該腳本文件 /usr/lib/libiacpkmn
   執(zhí)行 rm -rf /usr/lib/libiacpkmn

排查步驟:

使用top命令觀察占用cpu程序的PID

通過PID查看該程序所在的目錄：ls /proc/{PID}/
執(zhí)行l(wèi)l /proc/{PID}查看該程序運(yùn)行的目錄

將這些文件的權(quán)限全部修改成000，使這些程序無法繼續(xù)執(zhí)行：chmod 000 -R *

然后kill -9 {PID}

補(bǔ)充：
執(zhí)行crontab -l 查看是否有可疑計(jì)劃任務(wù)在執(zhí)行，如有請(qǐng)及時(shí)刪除（crontab -r）
通過上面的排查步驟我們可以看到cron程序是運(yùn)行在/root/.bashtemp/a目錄下的，但/root/.bashtemp/目錄下還有很多這樣的程序，所以也要執(zhí)行：chmod 000 -R * 將所有惡意程序的權(quán)限清除
一般來講通過以上步驟可以將惡意程序干掉，但不排除不法分子還留有其他后門程序，為了避免類似情況發(fā)生，建議保存重要數(shù)據(jù)后重裝操作系統(tǒng),后續(xù)請(qǐng)對(duì)服務(wù)器做安全加固，以免再次被入侵，比如更改默認(rèn)遠(yuǎn)程端口、配置防火墻規(guī)則、設(shè)置復(fù)雜度較高的密碼等方法

備注：部分可參考https://zhuanlan.zhihu.com/p/96601673