Linux minerd木马清除(续)

前两天清除了minerd木马之后，服务器一直运行良好。本来以为就这样解决问题了。结果，今天晚上，突然收到监控组的告警，说服务器再度变慢，不但cpu 100%了，就是连带宽也100%了。我晕，于是SSH上去一看，哇塞，minerd 又回来了。而且还变本加厉，连带宽都占满了。

于是，老步骤。全部清理完之后。感觉还是不对。难道是服务器又被入侵了？查了下防火墙日志，似乎没有问题。SSH端口，密码之类的也全都改了。于是，耐下心来，用ps 将所有的进程列出来，一一查看一遍。由于服务器连续运行时间不短了，木马是最近才出现的，所以PID 比较小的进程就不用太关注，重点关注比较大的。这一看，果然又发现了一个可以的东西， 有一个进程居然运行着/var/tmp/ 下面的一段命令。看来看去应该就是他了。老办法，先将/var/tmp下的所有文件用chmod 000 改掉权限。然后kill掉可疑进程。然后再删除/var/tmp下的所有文件。

嗯，怎么说呢，截止目前，还没有发现死灰复燃的情况。但愿问题就这么解决了，剩下的需要在持续观察了，看看会不会再出问题。

毕竟俺只是个程序员，不是安全工程师啊，不要以为俺什么都能干啊，老板。