之前在台湾买过破嘴膏，睡前涂一下 第二天基本就不痛了

@lifh1221 #8 我整理一下給你
先用 base64 反解出服务器上的脚本，确认一下脚本具体做了那些操作。然后在 hosts 里把脚本中请求的地址全都指向到 127.0.0.1。 把 chattr 命令从 bin 目录移出到其他，我是把 chattr 移动到 root 目录,因为脚本就是通过 chattr 获得修改定时任务的权限。
在通过下面命令清空定时任务，修复权限。
/root/chattr -i /var/spool/cron/root && > /var/spool/cron/root && chmod 000 /var/spool/cron/root && /root/chattr +i /var/spool/cron/root
/root/chattr -i /var/spool/cron/crontabs/root && > /var/spool/cron/crontabs/root && chmod 000 /var/spool/cron/crontabs/root && /root/chattr +i /var/spool/cron/crontabs/root
/root/chattr -i /etc/cron.d/root && > /etc/cron.d/root && chmod 000 /etc/cron.d/root && /root/chattr +i /etc/cron.d/root

然后关注 /var/spool/cron/ /etc/cron.d/等目录 确认一下里面是否有异常文件，我这边是多了一个 tomcat 还有同层的其他文件也被串改。 在 redis 的 src 里也有一个 tomcat 文件。
删除 /etc/init.d/watchdogs

这个时候定时任务和恶意文件都已经删除。但是 cpu 的负载还是很高，我处理的办法是重启系统后内存中的进程也被干掉，回复正常。然后从其他系统拷贝 netstat 命令到被黑服务器即可。

我同事给了我一个方案就是如果你的服务器不能重启，就是通过安装 sysdig 工具追踪恶意进程 ksoftirqds，查到后 kill -9，负载回复正常。如果发现 /etc/ld.so.preload 被串改可以自行通过工具修复

还少了一条 /root/chattr -i /etc/cron.d/root && > /etc/cron.d/root && chmod 000 /etc/cron.d/root && /root/chattr +i /etc/cron.d/root

弄错了 先把域名 指向本地 然后清空定时任务

chattr -i /var/spool/cron/root && > /var/spool/cron/root && chmod 000 /var/spool/cron/root && chattr +i /var/spool/cron/root
chattr -i /var/spool/cron/crontabs/root && > /var/spool/cron/crontabs/root && chmod 000 /var/spool/cron/crontabs/root && chattr +i /var/spool/cron/crontabs/root
然后把 minerxmr.ru thyrsi.com 指向本地
等进程结束后删除恶意程序
@Cukuyo #1
@jrrx #2

2018 年发感冒发高烧，去了浙二医院发热门诊，做了检查后医生就开了一盒散利痛。医保结算后就几块钱。

感冒只能靠自身免疫，顶多买一些对症的感冒药缓解症状。要是发烧在吃点布洛芬。平时多喝水多休息，注意饮食。剩下的就是等。要是时间超过 7-10 天就去医院。

218j 是千兆网口