top 看到一個bashd的進程占據了cpu
ps aux |grep bashd
cd /tmp 發現ddg.2011 的文件。root dump.rdb
在/root/.ssh 也有奇怪的文件
vim /etc/sshd/sshd_config 被人修改過
cd /var/spool/cron 被人加了新的crontab 全部刪除,crontab 里面有他執行的腳本和命令,服務器ip;
在/etc/ 下有一個/etc/redis-sentinel.conf 監視redis 進程的配置文件
解決:
which bashd 找到路徑,進入目錄
kill bashd 進程,cat /dev/null>bashd ;chattr +i bashd