jrrx

@Leonn 我也搜索了，但是我们告警的第一台主机，没有装 redis。

@hunterqg sh 脚本里面吗？怎么看出来的? 请帮你指出一下，谢谢。

有个问题，不清楚这个是如何入侵感染的。但是猜测是自己安装的 某些软件服务有漏洞，导致的。 大家清楚入侵步骤吗，或者利用的哪个漏洞？

步骤 2 的域名，你看一下 被感染的脚本，涉及的域名，全部屏蔽一下。

说明: 我是研发，不是专业安全人员，以下提供的信息和处理步骤，都是公司同事一起摸索的，供大家参考:

1. 涉及到的问题进程名称为: ksoftirqds, watchdogs，杀死这两个进程; //从阿里云进程监控看到的。
2. 屏蔽 thyrsi.com, pastebin.com, minerxmr.ru 三个域名;
3. 使用 @mingxulin 的命令，清空锁定 crontab， 防止再次被修改;
4. 去掉 watchdogs 的开机启动; //chkconfig --del watchdogs , 最好也检查下所有开机启动方式的设定。
3. 删除 watchdogs 文件: /etc/init.d 和 /usr/sbin/ 下面的 watchdogs 文件;
4. 删除 /etc/ld.so.preload 的内容; // 直接看不到这个文件， 直接 vi 这个文件，dd 删除内容，wq!强制保存退出，是可以删除内容的。
5. 删除 /usr/local/lib/libioset.so 文件; //步骤 4 完毕后，就可以进行步骤 5;
6. 重启主机，解除 crontab 锁定，观察一段时间。 // 如果 sh 命令还是处于感染状态，那么自己 找个 正常的 替换 。

供上面的同学参考.

@blubillow @Alfred328 @lifh1221 。

感谢 @yuedingwangji @mingxulin。

@lifh1221 一会我告诉你怎么处理。我们刚处理完毕。