作为资深老油条（Server Reinstall Enginner），对于这种安全问题，第一反应就是重装（没有什么是重装解决不了的，如果有，那就再装一次），因为病毒大概率是找不全，杀不干净，很容易对外留尾巴。

　　不过，咱还是要稍微专业一点，拿出病毒排查秘笈宝典，至少要找到一点蛛丝马迹才行，那我们就开始吧。

　　上面不论是通过top还是htop命令都没有发现具体占用CPU较高的进程，那么进程肯定是隐藏了。

　　对于隐藏进程，第一个想到的就是/etc/ld.so.preload文件，该文件是作用是让程序在运行之前，优先加载某些动态的链接库，部分木马正是利用此文件的功能，修改了该文件，在里面添加恶意so文件win7系统连接vpn服务器，从而达到了隐藏挖矿进程的目的。这也是为什么服务器CPU使用率很高，但是看不到占用CPU高的进程的原因。

　　默认情况下，该文件应该是空的，如果里面有内容，那大概率是木马植入的，我们需要先找到文件里的so文件并将其删除掉，然后再清空该文件。

　　通过排查，发现/etc/ld.so.preload文件确实有内容（这里忘记截图了），就按照上面的步骤操作一遍。

　　除此之外，还可以使用unhide命令来查看隐藏进程。使用yum install unhide安装命令，然后使用unhide proc即可发现隐藏进程。

　　秉着头痛医脚的理念，发现问题，就要解决问题，虽然心里知道使用kill -9 PID大概率解决不了问题，但是忍不住想尝试一下。果不其然，杀了进程又起来另外的进程了。

　　很明显，这是有其他守护进程的。所以使用systemctl status PID查看一下具体的进程服务。

　　集群中的其他服务器也按上面的流程检查了一遍，发现都是一样的服务、一样的二进制、一样的计划任务。处理过后，服务器节点的CPU都降下来了。

　　通过朋友的描述，为了便于办公，有一台VPN服务器，是自建的openvpn，对外暴露了公网，且把SSH也暴露了出去，而且万万没想到的是密码非常简单：。这种密码跟给情人留门没什么两样。而且中招的那些服务器的密码和这台服务器是一样的，这不仅留了大门，还把其他房间的钥匙放在桌上。

　　正常情况下，对外暴露的除了提供服务能力的端口都应该限制白名单，并且服务器本身的密码不应该简单随意。

　　平时会有一些朋友遇见服务器被黑的问题，经过搜集和整理相关的相关的材料，在这里本人给大家找到了Linux服务器被黑的解决方法，希望大家看后会有不少收获。如果你安装了所有正确的补丁，拥有经过测试的防火墙，并且在多个级别都激活了先进的入侵检测系统，那么只有在一种情况下你才会被黑，那就是，你太懒了以至没去做该做的事情.