中毒服务器CPU使用率高,使用自带的top命令无法查看到高占用率进程，安装unhide会触发服务器重启，下载busybox调用其ps top等命令可以看到恶意进程：

使用 /root/rm -f /usr/bin/pamdicks 删除恶意文件后，创建同名文件后锁定防止其恢复，然后再安装unhide排查隐藏进程

排查的隐藏进程如下：

#安装unhide，查看隐藏进程

[root@slave1 ~]# unhide sys
Unhide 20130526
Copyright © 2013 Yago Jesus & Patrick Gouin
License GPLv3+ : GNU GPL version 3 or later
http://www.unhide-forensics.info

NOTE : This version of unhide is for systems using Linux >= 2.6 

Used options: 
[*]Searching for Hidden processes through getpriority() scanning

Found HIDDEN PID: 1204
        Cmdline: "/usr/bin/ip6network"
        Executable: "/usr/bin/ip6network"
        Command: "ip6network"
        $USER=<undefined>
        $PWD=/etc/sysconfig/network-s

Found HIDDEN PID: 1209
        Cmdline: "/usr/bin/kswaped"
        Executable: "/usr/bin/kswaped"
        Command: "kswaped"
        $USER=<undefined>
        $PWD=/etc/sysconfig/network-s

Found HIDDEN PID: 1214
        Cmdline: "/usr/bin/loadxjump"
        Executable: "/usr/bin/loadxjump"
        Command: "loadxjump"
        $USER=<undefined>
        $PWD=/etc/sysconfig/network-s

Found HIDDEN PID: 1220
        Cmdline: "/usr/bin/loadxjump"
        Executable: "/usr/bin/loadxjump"
        Command: "loadxjump"
        $USER=<undefined>
        $PWD=/etc/sysconfig/network-s

Found HIDDEN PID: 1221
        Cmdline: "/usr/bin/systemd-network"
        Executable: "/usr/bin/systemd-network"
        Command: "systemd-network"
        $USER=<undefined>
        $PWD=/etc/sysconfig/network-s

入侵方式为通过redis弱口令写入authorized_keyswen文件

防御方式：

1. redis不要用root启动

2.配置redis的bind选项，并且在iptables限定可以访问redis服务器的源ip

2.配置redis复杂密码

3.关闭公网的ssh端口，采用内网穿透方式发布ssh端口