linux 木马清理过程

服务器出现异常，完全无法访问，ssh登陆都极其缓慢 解决过程 top 查看系统状态，发现 load average 平均负载值非常高，再看排名第一的进程，是一个不认识的进程名：minerd 感觉是被入侵了，上网搜了下minerd是什么东西，是个挖矿程序，看来的确被入侵了，被抓来当矿工了 查看进程信息 ps -ef | grep minerd 是tmp下的一个文件 马上执行 kill 杀掉这个进程，并删除对应文件 再次 top 命令查看，资源占用恢复正常 因为木马有自我改名、自我复制、自动运行的能力，担心还会有问题，就继续观察 果然过了一段时间后，资源又被占满，这次就不是 minerd 进程了，是一个名为 klll 的新进程 再次执行 kill 杀掉进程和删除对应文件 补漏过程

（1）检查定时任务列表，删除一切我不清楚的任务

crontab -l

more /etc/crontab

（2）检查开机自启动配置，移除一切非必须的程序

chkconfig --list | grep 3:on

more /etc/rc.d/rc.local

more /etc/rc.local

（3）检查用户列表，把非必要的用户都设置为不允许登陆，并修改现有用户密码，提高密码强度

（4）更改ssh端口，设置ssh登录IP的白名单

重启系统，观察一段后，一切正常

剩下的工作就是仔细排查web程序了