之前没有仔细看你发出来的东西，只是看到又有中挖矿木马的替你感到可惜又。。。
其实这种挖矿木马工作方式大同小异，你上面已经提到自己去用心跟了一下 bash，这样可以解决掉 90%这样的木马。
我之前所说不用这种云服务商提供的服务是个人觉得他们管的太多。
之前爆的[redis 挖矿]( https://www.v2ex.com/t/537457)你可以参考一下，排查那些死灰复燃的地方，加留心关注应该就行了。
你这次中了，应该和`postgresql`有关。

看到告警，我就觉得：还是不用这云服务比较好。。。

如果排除了 3 楼的问题。
那么可以看看是不是你代码里面开了压缩，然后提供服务的服务器又进行了压缩，也就是你压缩了#两次#。

国产化风头正盛，大概率会出。
虽然不看好国产化，但是就 QQ 会不会有 linux 版本这事来说，就看国产化的虚火能烧多久，久则出，否则则胎死腹中。

能 ps 出那个进程么？ vi 删掉定时任务之后会立刻重新恢复么？/proc 下有对应进程 ID 的文件夹么？
如果上面的回答都是 no，那么准备好迁移的数据，重装系统吧。如果不是，参考前面给的建议。
对付`rootkit`难度爆表。

什么情况，SUSE 明明这么好用，咋就是没人推荐呢？

1024/8=128, 1M 不是说的速度。1M 是带宽啊。。。

Iphone XR TIM 连适配都没做好么，分辨率感人。要不是 QQ 关不了使用设备显示，早滚去用 QQ 了。

@Macolor21 不开加载图片的功能，谨防被干的怎么办。

歪楼问一句：同一台电脑，用 Linux 系统没事，用 Windows10 就频繁蓝屏，是电脑问题吗？
PS：半年前自己无脑组装了一台电脑，装上 Win10 之后动不动(尤其是更新又更新不了，系统又自动老是尝试更新，关又关不掉)就蓝屏，openSUSE 使用没有任何问题。

很久没关注`redis`的挖矿木马了，解决方案参考：[对抗这种 rootkit 难度爆表，，回滚更划算，]( https://www.v2ex.com/t/537457?p=1)

以前是 windows 下开发的吧，路径是用的字符串，修改那些文件路径就好了

+1

@lvxiang119 哇，大佬啊，我只知道它劫持了系统库函数，但是不知道具体劫持了哪些，功力不足啊。
顺带问一下破坏了链接库，删除定时任务，开机自启之后，这个挖矿病毒算清理了么？

最新消息，libioset 貌似升级了，
将 libioset。so 文件破坏，系统重启，清空能用。主要是那个动态链接库搞事情。

## 来源
大部分来源于 redis，这里也只说明 redis

### redis
在 redis 以 root 运行，开启公网访问，没有禁用 /重命名 confing 命令，且使用系统定时任务服务的情况下，可实现入侵。当局域网内有一台机被沦陷之后，且该机器登录过且无需密码能登录局域网内服务器，将进行扫描入侵。

## 脚本流程
该脚本将先清理掉服务器可能已经被挖矿的其他程序，然后下载自己的看门狗程序，设置并覆盖加载动态链接库：
/etc/ld.so.preload
/usr/local/lib/libioset.so

写入定时任务，文件有：
1. /var/spool/cron/root
2. /etc/cron.d/root
3. /var/spool/cron/crontabs/root

常见 watchdogs 自启动服务：
/etc/init.d/watchdogs

## 特别说明 - 链接库
链接库会覆盖某些函数，当运行一些命令时会先执行作者写的函数，所以在使用 cd，vi 等命令时会发现定时任务又回来了，这是因为这些命令会调用该链接库所致。并不是有其他程序监控并修改文件所致。

## 建议清理方案
设置 redis
停掉定时任务
清理并刷新动态链接库
清理并重建定时任务
删除自启动
启动定时任务

## 不足
由于时间与能力的关系，分析可能不完整，欢迎大家提出意见。
@17612729987
@Acoffice

@Acoffice 我整理一下，稍等。