记一次服务器被黑的调查过程

1、因服务器负载过高，查看原因,通过top命令查看负载发现异常进程md64, 2、ps查看进程启动程序 3、kill掉后跳出名为tsm异常进程，怀疑挖矿木马程序。使用kill -9 杀死后，一分钟左右又自动出现， 4、ps查找该进程目录，发现可疑文件/usr/sbin/http 然进入到该目录，并