记一次linux挖矿木马应急

1.拿到了一个靶机，top检查，发现有一个进程CPU利用率一直在百分之百，经过特征对比，发现是挖矿木马

2.利用 ll /proc/端口ID/exe 定位木马文件所在位置

3.rm -rf 删除掉木马文件

4.原本以为搞定了，过了一会发现还是有利用率百分之百情况

5.查看 cat  /var/spool/cron 发现有一个定时任务，wget一个脚本 十分钟执行一次

6，查看脚本文件 发现他在做绑定资源文件，然后创建木马，执行，并删除

7. ps -aux | grep 进程id 锁定位置，进入文件目录位置，发现没有这个文件

8.然后气得我直接把 　/usr/local/lib 里面的文件全删掉了，记过GG了

9.待定补充