top 看到一个bashd的进程占据了cpu
ps aux |grep bashd
cd /tmp 发现ddg.2011 的文件。root dump.rdb
在/root/.ssh 也有奇怪的文件
vim /etc/sshd/sshd_config 被人修改过
cd /var/spool/cron 被人加了新的crontab 全部删除,crontab 里面有他执行的脚本和命令,服务器ip;
在/etc/ 下有一个/etc/redis-sentinel.conf 监视redis 进程的配置文件
解决:
which bashd 找到路径,进入目录
kill bashd 进程,cat /dev/null>bashd ;chattr +i bashd