服务器再次中挖矿木马

客服说用着网站操作很卡，很不幸，服务器再次中木马了，这次很暴力，CPU直接飚到200%！
初步判断是挖矿木马了，这次有了上次排查的经验后，直接top就看到了进程号

4FA3FD4441F01C5A8E4A2D1FC40C6DAB.jpg

太狠了，占用那么多。

直接kill ，果然死灰复燃，没关系，有了上次的经验这次不怕了。 继续查看启动项没发现什么异常，然后重启试试。 重启后马上就运行了，可启动项没发现问题啊。

我也查看了，定时任务， 没发现什么，难道是姿势不对？

QQ20181102-164343.png

后来无意试了一下 crontab -l

image.png

发现木马是直接从这个定时下载的脚本。

用 crontab -e 进行编辑定时任务后，再kill掉进程，删除对应文件。

一切正常了。

注意：
1、一定要修改ssh默认端口号
2、密码一定要够复杂