1、因服務器負載過高，查看原因,通過top命令查看負載發現異常進程md64,

2、ps查看進程啟動程序

3、kill掉后跳出名為tsm異常進程，懷疑挖礦木馬程序。

使用kill -9 殺死后，一分鐘左右又自動出現，

4、ps查找該進程目錄，發現可疑文件/usr/sbin/http

然進入到該目錄，并沒有發現該可疑文件。

5、查找有無可議計劃任務。

a、查看root下計劃任務，

b、清除后，查看git用戶下計劃任務。

將上述所列計劃任務清除后，kill 殺死tsm進程后,還是啟動

6、查找可疑用戶cat  /etc/passwd/

發現http用戶，清理掉后殺掉進程，還是無法殺掉

7、使用命令pstree -p | grep tsm

8、看到父進程是一個go進程，殺掉該進程后，并殺死tsm進程

9、查找go文件

發現可疑問件，清理掉后，此時tsm進程不在啟動。

10、通過計劃任務查找啟動目錄

發現可疑腳本nano.sh，腳本內容如下

nano.sh

monero.tgz

進行留存并清理該腳本

看到可疑配置文件config.json,該配置文件內容如下：

config.json

x86.sh

將該目錄留存并清理。

11、將以上內容清理后，并未發現其他異常進程及文件目錄，

12、查看監控報警后，發現此次異常進程可能由9月6號開始。

總結教訓：

1、從以上內容分析，此次入侵途徑可能為服務器及服務未知漏洞，或普通用戶暴力破解造成。

2、根本原因為安全意識薄弱，以后要提高安全意識，做好防范措施，添加跳板機，避免服務器直接暴露。