啃过两次。第一次是 12 年刚刚工作租完房子没钱吃饭向我妈要了 300 块，第二次是今年九月在杭州买房向我妈要了 5w 凑首付。

公司每年体检一直都是轻度脂肪肝，但是谷丙转氨酶指标一直异常。今年特地去浙 2 复查了，做了所有肝相关化验检查，超声弹性检查结果是重度脂肪肝。医生建议每天运动 50 分钟，两个月后复查。从 9 月底开始天天游泳，体重从 84kg 减到 78kg 。肝功能指标全部正常，超声弹性检查因为短期内减肥肝脏脂肪分布不均无法确认。

我觉得吧 涨一次爽一次 一直涨一直爽

之前在台湾买过破嘴膏，睡前涂一下 第二天基本就不痛了

@lifh1221 #8 我整理一下給你
先用 base64 反解出服务器上的脚本，确认一下脚本具体做了那些操作。然后在 hosts 里把脚本中请求的地址全都指向到 127.0.0.1。 把 chattr 命令从 bin 目录移出到其他，我是把 chattr 移动到 root 目录,因为脚本就是通过 chattr 获得修改定时任务的权限。
在通过下面命令清空定时任务，修复权限。
/root/chattr -i /var/spool/cron/root && > /var/spool/cron/root && chmod 000 /var/spool/cron/root && /root/chattr +i /var/spool/cron/root
/root/chattr -i /var/spool/cron/crontabs/root && > /var/spool/cron/crontabs/root && chmod 000 /var/spool/cron/crontabs/root && /root/chattr +i /var/spool/cron/crontabs/root
/root/chattr -i /etc/cron.d/root && > /etc/cron.d/root && chmod 000 /etc/cron.d/root && /root/chattr +i /etc/cron.d/root

然后关注 /var/spool/cron/ /etc/cron.d/等目录 确认一下里面是否有异常文件，我这边是多了一个 tomcat 还有同层的其他文件也被串改。 在 redis 的 src 里也有一个 tomcat 文件。
删除 /etc/init.d/watchdogs

这个时候定时任务和恶意文件都已经删除。但是 cpu 的负载还是很高，我处理的办法是重启系统后内存中的进程也被干掉，回复正常。然后从其他系统拷贝 netstat 命令到被黑服务器即可。

我同事给了我一个方案就是如果你的服务器不能重启，就是通过安装 sysdig 工具追踪恶意进程 ksoftirqds，查到后 kill -9，负载回复正常。如果发现 /etc/ld.so.preload 被串改可以自行通过工具修复

还少了一条 /root/chattr -i /etc/cron.d/root && > /etc/cron.d/root && chmod 000 /etc/cron.d/root && /root/chattr +i /etc/cron.d/root

弄错了 先把域名 指向本地 然后清空定时任务

chattr -i /var/spool/cron/root && > /var/spool/cron/root && chmod 000 /var/spool/cron/root && chattr +i /var/spool/cron/root
chattr -i /var/spool/cron/crontabs/root && > /var/spool/cron/crontabs/root && chmod 000 /var/spool/cron/crontabs/root && chattr +i /var/spool/cron/crontabs/root
然后把 minerxmr.ru thyrsi.com 指向本地
等进程结束后删除恶意程序
@Cukuyo #1
@jrrx #2